Security Lab

Межсайтовый скриптинг в Hotmail

Дата публикации:24.12.2002
Всего просмотров:1377
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Hotmail – самая большая в мире бесплатная почтовая служба. Уязвимость межсайтового скриптинга в Web сайте позволяет удаленным атакующим заставлять пользователя выполнять произвольный код сценария. Уязвимость связанна c недостаточной проверкой кода в тэгах textarea и td. Пример:
<TD width=1 height=1 bgcolor=\~ 
background='http://hotmail.msn.com\cgi-bin\dofolders?
m=&i=&FID_=&from=inbox&newfoldername=HACKED'></td>
При загрузки этой страницы, код сгенерирует GET запрос к указанному URL. URL находится в домене Hotmail, таким образом куки пользователя будет передано с запросом. Сервер Hotmail обработает запрос и создаст папку с именем HACKED.
Ссылки: [NEWS] Microsoft Hotmail Cross-Site Scripting (XSS) Flaws