Text injection on form

Đây là một lỗi khá thú vị, nó có thể được dùng để khai thác và đánh lừa người dùng (phishing).

URL: http://ok.ru

Đầu tiên mình sẽ không nhập Username, Password và bấm Log in thì xuất hiện thông báo lỗi như bên dưới.

Chú ý lên URL thì thấy có dạng sau:

http://ok.ru/dk?st.cmd=anonymMain&st.error=errors.email.empty

1	http://ok.ru/dk?st.cmd=anonymMain&st.error=errors.email.empty

Thay đổi dòng “errors.email.empty” bằng một nội dung khác.

http://ok.ru/dk?st.cmd=anonymMain&st.error=Please reset password at below link: www.hacker.com/resetpassword.html

1	http://ok.ru/dk?st.cmd=anonymMain&st.error=Please reset password at below link: www.hacker.com/resetpassword.html

Kết quả.