A CSide linkhez: az egészből az nem derül ki, ami a lényeg: hogyan került beinjektálásra ez a script tag? Mert abban van a támadás lényegi része, hogy hogyan tudod eljuttatni ezt a script taget a kliensre, mely ponton léptél be a szerver és a kliens közé.
Nem az a lényeg, hogy hogyan működik onnantól kezdve, hogy beinjektálásra került, hanem az, hogy hogyan került a Magento oldalba be a script tag.
Egy exploitnál sem azt kell elemezni, hogy mit csinál, miután bejutott a rendszerbe, hanem azt kell elemezni, hogy hogyan jutott be a rendszerbe. Minden más csak mellébeszélés.