Межсайтовый скриптинг в Lycos HTMLGear Guestbook

Lycos предлагает несколько дополнительных Web приложений через службу HTMLGear, одно из которых - guestbooks. Обнаруженная уязвимость в guestbook позволяет атакующему начать атаку против посетителей, браузеры которых поддерживают inline CSS (например IE). Пример:

Определяем e-mail адрес/web page URL следующим образом:

" STYLE="expression({javascript})

Javascript блок выполнится.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.