REG-14 · Open Redirect

Redirecionamento de saída

O parâmetro ?url= é aceito sem validação contra a allow-list. Para evitar redirecionar acidentalmente o avaliador, executamos somente quando ?confirm=1 também está presente — mas a tentativa, com ou sem confirmação, é registrada na telemetria.