Межсайтовый скриптинг в Hotmail

Дата публикации:
24.12.2002
Всего просмотров:
1100
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Hotmail – самая большая в мире бесплатная почтовая служба. Уязвимость межсайтового скриптинга в Web сайте позволяет удаленным атакующим заставлять пользователя выполнять произвольный код сценария. Уязвимость связанна c недостаточной проверкой кода в тэгах textarea и td. Пример:
<TD width=1 height=1 bgcolor=\~ 
background='http://hotmail.msn.com\cgi-bin\dofolders?
m=&i=&FID_=&from=inbox&newfoldername=HACKED'></td>
При загрузки этой страницы, код сгенерирует GET запрос к указанному URL. URL находится в домене Hotmail, таким образом куки пользователя будет передано с запросом. Сервер Hotmail обработает запрос и создаст папку с именем HACKED.

Ссылки: [NEWS] Microsoft Hotmail Cross-Site Scripting (XSS) Flaws
или введите имя

CAPTCHA