Eu recentemente peguei um site de recrutamento (edit: da gringa) com o mesmo problema, onde a validação era feita apenas usando a session, sem verificar dado nenhum, e a sessão era inicializada ao acessar a home, então era só ter o link. Fui olhar um pouco mais, e vi que a listagem de diretórios estava ativada e já haviam alguns web shell no site.

Acabei de verificar agorinha que negaram a listagem dos diretórios, mas os muitos web shells continuam lá. Já fiz minha parte em reportar novamente. Agora, se vão resolver...

Eu recentemente peguei um site de recrutamento (edit: da gringa) com o mesmo problema, onde a validação era feita apenas usando a session, sem verificar dado nenhum, e a sessão era inicia...