Testovací zpráva, která se snaží umístit skript uzavřený tagy <scipt> a </scipt> do názvu přiloženého souboru. Při návrhu webmailu proto nesmíme na tento typ útoku zapomenout a názvy příloh musíme kontrolovat a filtrovat případné nebezpečné znaky.
zdrojový kód zprávy
From: "TestMail" <testmail@soom.cz>
TO: [[zadaná adresa]]
SUBJECT: Test
MIME-version: 1.0
X-Priority: 3 (Normal)
Importance: Normal
return-Path: testmail@soom.cz
Reply-To: testmail@soom.cz
Content-Type: multipart/mixed;
boundary="messagepart01"
This is a multi-part message in MIME format.
--messagepart01
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
TESTMAIL
--messagepart01
Content-Type: text/plain;
name="test<scipt>alert(1);</scipt>.txt"
Content-Transfer-Encoding: base64
Content-Disposition: inline;
filename="test<scipt>alert(1);</scipt>.txt"
dGVzdA==
--messagepart01--
|