Здравствуйте, вчера сканером ZAP jобнаружил XSS уязвимость. Замаскирована под ссылку
Когда открываешь ссылку
Помогите плз найти и обезвредить данный бэкдор или хотя бы направьте в нужное русло. Спасибо.
Ссылка скрыта от гостей
Я так понимаю что разработчик сайта (хитрый) спрятал бэкдор в форме отправки заявки с сайта, вот кусок кода с алертом:
HTML:
<!DOCTYPE html><html><head><meta http-equiv="content-type" content="text/html; charset=utf-8" /><meta http-equiv="refresh" content="3;URL=//site.ru"><meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"><title>Ваше сообщение отправлено</title></head><body><h1 style="margin:100px 0px 30px 0px; text-align:center; font-family:Arial; font-size:28px;">Ваше сообщение отправлено</h1><h3 style="margin:30px 0px 30px 0px; text-align:center; font-family:Arial; font-size:20px;">Сообщение с сайта</h3><div style="margin-bottom:30px;font-size:12px;text-align:center;"><span style="color:#a5a5a5;">Отправлено со страницы:</span><br><a href="https://site.rujavascript:alert(1);" target="_blank">https://site.rujavascript:alert(1);</a></div><div style="margin:0 auto; max-width:600px; text-align:center; font-family:Arial; font-size:16px;"><div style="padding:5px 0px"><span style="color:#a5a5a5; padding-right:20px;">Ваше имя</span>ibkHxQbu</div><div style="padding:5px 0px"><span style="color:#a5a5a5; padding-right:20px;">Телефон</span>eOnolgQu</div></div></body></html>
Ссылка скрыта от гостей
то там пустая страница. Саму ссылку или где находится этот кусок кода найти не могу - ибо тупой, весь код в хостинге перерыл) С разработчиком связь потерял - ибо он редиска.Помогите плз найти и обезвредить данный бэкдор или хотя бы направьте в нужное русло. Спасибо.
