Мне интересно, как с точки зрения технологии это работает? То есть разработчики изначально хотели, чтобы была возможность пикчи кидать а потом перекрыли ее "в долгий ящик", после чего хацкеры ее нашли?
Все проще - взяли какой-то готовый модуль, который умеет парсить хтмл, и забыли заэкранить. Но это мелочи. А вот отсутствие северной валидации - это треш.
Мне интересно, как с точки зрения технологии это работает? То есть разработчики изначально хотели, чтобы была возможность пикчи кидать а потом перекрыли ее "в долгий ящик", после чего хацкеры ее нашли?
Все проще - взяли какой-то готовый модуль, который умеет парсить хтмл, и забыли заэкранить. Но это мелочи. А вот отсутствие северной валидации - это треш.