В дискуссии спросили, ну чего опасного в том, что есть XSS на поддомене без юзеров. Допустим, есть у нас site.kek, а ты нашел уязвимость на subdomain.site.kek Что может дать XSS на поддомене, где обычный одностраничный лэндинг, нет никаких данных пользователя? Штош, импакт такой: - Не только лишь все знают, что поддомен может ставить куки, в том числе на главный сайт (а точнее на весь скоуп, включая другие поддомены), а это может помочь при эксплуатировании других атак, например фиксацию сессии. Или вспомнить про отказ в обслуживании aka cookie bomb - CORS на других сайтах компании, в том числе сам site.kek может принимать Origin: subdomain.site.kek, а это значит можно выполнять действия от лица пользователя. - В дополнение к предыдущему - обходится механизм SameSite - Старый добрый фишинг, если нет дизайна для регистрации или входа - ее можно нарисовать. Может что-то еще? >