Ho scoperto un possibile difetto di sicurezza in un accesso per un sito su cui molte persone fanno affidamento. Non dirò il sito ma nell'URL c'è qualcosa di simile a
/Success?message=Success+please+wait+a+bit+for+results
/Failure?message=Failure+Please+try+again
Conosco tutto ciò che riguarda XSS e non riesci a far sì che JavaScript venga incorporato anche con l'inganno, ma stampa comunque ciò che hai inserito nella query del messaggio.
Penso che questo possa essere usato negli attacchi di social engineering
Quanto è pericoloso questo? (Può essere collegato a caldo)