http://www.heise.de/security/artikel/94100

MfG Bischi

PS: Wusste nicht, dass es so extrem gefährlich ist... Zum Glück ist bei mir JS abgeschaltet :D

hmmm, hilf der Mama mal auf die Sprünge:

Da ist eine recht mickrige Eingabemaske, die Daten werden per *GET* durchgereicht, und die wundern sich, dass man das in dem url sieht? Dann kommt vom selben Server die Antwort, und das nennt sich Cross-Site-Scripting?

Sorry, heut ist nicht mein Tag.
BlueJay

Der Punkt ist der: Falls jemand auf der Seite eigenen Code posten kann (beispielsweise ein Forum ohne BB-Codes), dann kannst du damit das Passwort abfragen, ohne dass dies über den Quellcode oder Ähnliches ersichtlich ist: Die Passworteingabe ist Original (du siehst auch nix im Quellcode) - nur kann der Angreifer über Javascript trotzdem dein PW auslesen...

MfG Bischi