Ho il seguente esempio di richiesta POST come parte di un modulo di feedback per un sito web che consente di fornire un valore arbitrario al parametro "done_url", consentendo un reindirizzamento aperto dopo che il modulo di feedback è stato elaborato.
POST /cgi-bin/formproc2.cgi HTTP/1.1
Host: foobar.com
mail_to=support%40support.com&subject=Feedback+Form&done_url=http://phishingsite.com&feedback=I+love+your+site&Submit=Submit
Ho familiarità con le tipiche forme di phishing eseguite per i reindirizzamenti aperti nelle richieste GET, come questo esempio link
Ma come potrebbe un utente malintenzionato sfruttare questo reindirizzamento nel corpo del POST?