Hello Hackers, у цьому короткому описі я розповім про своє нещодавнє виявлення HTMLI у електронній пошті в Quickreel через платформу comolho для баг-баунті.
Під час тестування функції реєстрації я виявив, що поле повне ім'я є вразливим до уразливості HTML-ін'єкції. Нижче наведені кроки для виконання атаки.
Кроки для відтворення
- Відвідайте: https://app.quickreel.io/login
- Тепер натисніть на кнопку Зареєструватися.
- Тепер в поле імені додайте наступний пейлоад:
Пейлоад:
Перекладено з: 🚨 Found HTML Injection in Emails! Earned HOF 🏆