не могу догнать что можно сделать:
нашёл xss в поиске, показывает мне сообщение. форма поиска методом POST работает.
я так понимаю это пассивная xss и мне нужно каким-то образом заставить админа кликнуть на Поиск с моими параметрами?
какие ещё могут быть варианты применения данной дыры?