• HTML/CSS-инъекция в почте Mail.Ru

      Всё новое — это хорошо забытое старое: помнится, несколько лет назад в ЖЖ был баг, который позволял вставляемым в текст комментария элементам назначать абсолютное позиционирование. Фактически, всё описанное в данном посте базируется на этой идее.

      Описанная уязвимость касается любых форм ввода, допускающих ввод пользовательского HTML-кода.
      Читать дальше →