Advisory by Eraser #4
  /############################################################\
  # Продукт: @Card                               # advisory #4 #
  # Уязвимость: cross-site scripting             ###############
  # Разработчик программы: www.cgi2k.com         #             #
  # Опасность: сравнительно небольшая            #             #
  # Дата: 18.07.02                               #             #
  \############################################################/

  --Описание--
@Card - система/скрипт посылки виртуальных открыток. Присутствует уязвимость 
использования XSS. Из-за отсутствия проверки переменной 'pic' атакующий 
имеет возможность удалённо исполнить любой код в браузере из уязвимого 
сервера заменив или добавив к используемой открытке, код с закрытием 
кавычки в начале.

  --Использование--
www.vulnerable.url/cgi-bin/ecards/upcardme.cgi?step=1&pic=Spider_Man/
2733369507.jpg><script>alert("eraser%20was%20here%20:)")</script>
&lang=english.pm

  --Уязвимы--
@Card