Futurico.ruサイトでセミアクティブXSS脆弱性を発見しました。
簡単です:サイトにメッセージを入力します(短いフレーズ)。
次に、メッセージIDを見つけます-ロード中にPOSTパラメーターをキャプチャします。
そして、 futurico.ru / map / getPointInfo.php?point = **** GETメソッドを使用してPOSTパラメーターを渡すだけで、メッセージが表示されます。
フィルタリングなし。
現時点では、開発者は「小さなフレーズ」を部分的に無効にしていますが、それでもメッセージを作成してid経由でアクセスできます。
詳細については、 こちらをご覧ください。