Stored XSS | javascript: URI Injection V.2

Uygulama kanalı oluşturulurken WebSite Uygulaması seçeneğinde bulunan Kaynak URL alanına girilen değer yeterli protokol doğrulaması yapılmadan iframe src attribute’üne yerleştirilmektedir. javascript: URI şemasının engellenmemesi nedeniyle saldırgan bu alana zararlı bir payload ekleyerek istemci tarafında keyfi JavaScript çalıştırabilmektedir. Payload veritabanında saklandığı için kanal görüntülendiğinde otomatik olarak tetiklenir ve bu durum Stored XSS zafiyetine yol açar.