챗봇을 영구적으로 비활성화한다.
해당 사이트의 챗봇은 juicy-chat-bot으로 구동된다.
GitHub에서 해당 봇의 코드를 찾을 수 있다. 여기에서 사용자의 이름이 addUser 함수로 들어가는 것을 확인할 수 있다. 이 부분에서 악의적인 입력에 대한 취약점이 발생한다고 한다.
사용자의 이름을 admin"); process=null; users.addUser("1337", "test 로 변경하면 앞서 살펴본 addUser 함수에서 this.factory.run(users.addUser("${token}", "$admin"); process=null; users.addUser("1337", "test")) 로 입력이 되어 process = null; 이 실행된다. 다음 입력을 하면 봇이 고장난 것을 확인할 수 있다.