Buenas, estoy intentando securizar www.bz6.org y www.eu5.es después del anterior ataque con shell, en concreto WSO..
Tengo un form de contacto, algo simple: http://www.eu5.es/p/contacto si añadimos ?a=algo, en el campo asunto, aparece "algo" como value.
Me dijeron que eso era un bug muy grande ya varios, pero no se que problema puede dar y sin saber el problema... poco puedo hacer xD
Hice http://www.eu5.es/p/contacto?a=eval(print('a')), también le pase simplemente print('a'), etc y ninguno hizo nada...
Es simplemente <?= $_GET['a'] ?> lo que tiene en el html...
Necesito saber la vulnerabilidad que esto supone
Saludos!