Detail

• Mục tiêu là cướp cookie của admin
• Ban đầu nhập email để đăng nhập, email không có bất kì filter nào
• Đã xử dụng EJS để ngăn chặn và loại bỏ các html tags
• Ta có thêm chức năng thông báo lỗi cho admin

• Phía admin sẽ nhận được các thông báo của client bao gôm email và content
• Nhưng đối với dòng hiển thị email đã không sử dụng EJS để loại bỏ các html tags. Vì vậy có thể nhập email là 1 thẻ <script> sau đó gửi để hiển thị phía admin