Hotmail — самая большая в мире бесплатная почтовая служба. Уязвимость межсайтового скриптинга в Web сайте позволяет удаленным атакующим
заставить пользователя выполнять произвольный код сценария. Уязвимость связанна c недостаточной проверкой кода в тэгах textarea и td. Пример: 

<TD width=1 height=1 bgcolor=\~ background=’http://hotmail.msn.com\cgi-bin\dofolders?
m=&i=&FID_=&from=inbox&newfoldername=HACKED’></td> 

При загрузке этой страницы код сгенерирует GET запрос к указанному URL. URL находится в домене Hotmail, таким образом куки пользователя будет передано с запросом. Сервер Hotmail обработает запрос и создаст папку с именем
HACKED.



Оставить мнение