"olo" <n...@d...pl> writes:

> > A o tym, że to nie jest śmieszna zabawa, wiedzą Ci, którzy mają
> > pojęcie nieco większe niż jakiekolwiek.
> >
> > Qrza twarz: prymitywny przykład, który już przecież dawałem. Dostajesz
> > maila o treści:
> >
> > Koszystając z nowo wprowadzonej usługi MBank-Money znajomy
> > przesyła Ci 45 złotych. Aby odebrać tą kwotę kliknij
> >
> > https://www.mbank.com.pl/RAWERAWRAWERAWERA34234q234q
234
> >
> > (przykłady że w zepsutym linku nie musi być widać słowa error rzucał
> > np. pjo)
>
> sorki ale nie łapię - ten przykład o którym mówisz przeniesie mnie na stronę
> mBanku gdzie zostałby wygenerowany błąd o nazwie takiej jaką ty kodami asci
> czy czym innym spreparujesz
>
> ale to w dalszym ciągu tylko strona mbanku (a nie jakaś twoja)

Swoją mogę w to zaembedować. Patrz przykład zrobiony przez pjo, który
nie robił śmiesznych napisów tylko ... włożył tam stronę logowania
inteligo. Równie dobrze mógłby włożyć stronę 'logowania' wyglądającą
jak logowanie mbanku ale przesyłającą po zatwierdzeniu dane na inny
serwer.

Polecam lekturę:
http://www.cgisecurity.com/articles/xss-faq.shtml