Я одобрю этот коммент, чтобы уточнить — были отправлены жалобы в клаудфлеер, на домены, на хостинг, а также в киви и яндекс для дальнейшего бана кошельков, а база скомпроментированных пользователей передана в ВК. Сам не нуждаюсь в том, чтобы производить такую рекламу. Но, спасибо, что «грамотная» :)
Нужно понимать, что это не обычный пример, когда вы передаете ссылку вроде: site.ru/?text=xss_payload
Вы подозреваете, что ваш инпут дойдет до администратора, в качестве таких примеров могут быть: жалоба на свой собственный аккаунт/сообщение с полезной нагрузкой, или контактная форма.
Конкретно в этом случае, я предположил, что раз это фишинг — то администратору нужно где-то видеть украденные логины/пароли.
Я сознательно ввел в логин и пароль XSS пейлоад, который затем отработал, когда администратор захотел просмотреть украденные аккаунты — тем самым отправив мне свои куки, в которых и содержалась сессия
site.ru/?text=xss_payload
Вы подозреваете, что ваш инпут дойдет до администратора, в качестве таких примеров могут быть: жалоба на свой собственный аккаунт/сообщение с полезной нагрузкой, или контактная форма.
Конкретно в этом случае, я предположил, что раз это фишинг — то администратору нужно где-то видеть украденные логины/пароли.
Я сознательно ввел в логин и пароль XSS пейлоад, который затем отработал, когда администратор захотел просмотреть украденные аккаунты — тем самым отправив мне свои куки, в которых и содержалась сессия