Сегодня играясь с настройками сайта заметил интересную вещь, что сайт через video.php?= подгружает любой контент. Т.е. http://vsv-astana.kz/video.php?id=vsv-astana.kz/video.php?id=vsv-astana.kz/about.php получается такого рода капуста, можно сайт отобразить в себе несколько раз ))) или вот http://vsv-astana.kz/video.php?id=antichat.ru ))) также работает скачивание если в ссылку подставить прямой URL на файл. Подскажите пожалуйста как можно раскрутить данный баг? Или это нормальное поведение. Спасибо.
Это не нормальное поведение, это - Reflected xss Code: http://vsv-astana.kz/video.php?id=%22%3E%3C/iframe%3E%3Cscript%3Ealert%28/xss/%29;%3C/script%3E