Microsoft Internet Information Server/Services (IIS) уязвим к межсайтовому скриптингу. 

Когда IIS передан ошибочный запрос, 302 ошибка «Object Moved» возвращается клиенту без изменения метасимволов, содержащихся в запросе
(а следовательно запрос выполняется в
броузере). Это происходит, когда запрос содержит следующий URI: 

GET /existing directory name?»><script>alert(«aaa»); </script> 

Уязвимость найдена в IIS 4.0-5.1.

Оставить мнение