Наверное многие слышали, что невозможно вставить динамически ASP код, т.е. в ASP скриптах атаки типа PHP injection невозможны. Однако (чисто случайно, без злого умысла) заметил у одного сайта с очень высокой посещаемостью возможность динамической вставки ASP кода такой конструкцией (через URL параметр!)
<script language=vbscript runat=server>
Response.Write "this site is hacked"
</script>
И такое работает! Когда убераю 'runat=server' то получается обычный XSS.
Я не спец по ASP, но какой код должен быть чтобы такая фигня стала возможной?