Amacım orada onu anlatmak değilde XSS var based olmasa da var yani.
Büyük ihtimal scripti yapan arkadaştan almamışsınız çünkü yapan arkadaşın bu kadar amatör olabileceğini düşünmüyorum hiç bir şekilde backendte giren veriler kontrol edilmiyor + olarak csrf yok