• Как я взломал мошенников, или просто внутренности фишинг-панелей
    +3
    Я одобрю этот коммент, чтобы уточнить — были отправлены жалобы в клаудфлеер, на домены, на хостинг, а также в киви и яндекс для дальнейшего бана кошельков, а база скомпроментированных пользователей передана в ВК. Сам не нуждаюсь в том, чтобы производить такую рекламу. Но, спасибо, что «грамотная» :)
  • Как я взломал мошенников, или просто внутренности фишинг-панелей
    +7
    Нужно понимать, что это не обычный пример, когда вы передаете ссылку вроде:
    site.ru/?text=xss_payload

    Вы подозреваете, что ваш инпут дойдет до администратора, в качестве таких примеров могут быть: жалоба на свой собственный аккаунт/сообщение с полезной нагрузкой, или контактная форма.

    Конкретно в этом случае, я предположил, что раз это фишинг — то администратору нужно где-то видеть украденные логины/пароли.
    Я сознательно ввел в логин и пароль XSS пейлоад, который затем отработал, когда администратор захотел просмотреть украденные аккаунты — тем самым отправив мне свои куки, в которых и содержалась сессия