Мной была найдена полуактивная XSS уязвимость на сайте Futurico.ru.
Все просто: вводим сообщение на сайте (маленькая фраза).
Затем узнаем id сообщения — отснифаем POST-параметры при подгрузке:
А теперь просто передадим futurico.ru/map/getPointInfo.php?point=**** POST-параметр методом GET и увидим наше сообщение:
Фильтрации нет.
На данный момент разработчики частично отключили «маленькие фразы», однако все равно можно писать сообщения и обращаться по id к ним.
Более подробную информацию можно узнать здесь
Все просто: вводим сообщение на сайте (маленькая фраза).
Затем узнаем id сообщения — отснифаем POST-параметры при подгрузке:
А теперь просто передадим futurico.ru/map/getPointInfo.php?point=**** POST-параметр методом GET и увидим наше сообщение:
Фильтрации нет.
На данный момент разработчики частично отключили «маленькие фразы», однако все равно можно писать сообщения и обращаться по id к ним.
Более подробную информацию можно узнать здесь
