este tuto justo lo he visto hoy en la comunidad del dios de la red, si alguien no lo posteaba lo iba a poner por aquí porque me ha parecido muy interesante
@Achernar dinos pues si es vulnerable a XSS a ver.... porque como bien dice azielito siendo frame se ejecuta en tu servidor y no en el víctima, o sea que la shell de ná sirve.