XSS - Injection url via API

données-utilisateurs
#1

Bonjour,

Il est possible de manipuler l’API pour y injecter dans le profile des datas.
Une personne malveillante pourrait injecter une URL d’un script js (j’y ai injecté jquery) qui compromettrait les données utilisateur.

1 Like
#2

j’essaie de mesurer ça l’ampleur du problème dans l’état actuel.

à priori cet propriété n’est pas utilisé par le client, pour l’instant l’exec n’est donc pas possible.

bien entendu, il faudra valider / nettoyer les données qui arrivent sur l’API, mais il est nécessaire de passer par le compte de la cible pour que ce soit effectif.

#3

Effectivement.

Par contre, comme mon compte est limité en nombre de posts par heure :pleading_face:, j’ai créé une autre issue (de la même veine) sur gitHub :


Qui du coup n’est pas référencée sur feedback