Adriaan Graas, 一个16岁的荷兰中学生,平时对网络安全和Web开发相当感兴趣,但这次他却发现了Hotmail系统的潜在XSS跨站脚本漏洞问题,可能是这个问题看起来实在太小了,当他把问题递交给微软一周之后,微软仍然没有修复这个潜在的问题.这个想法很简单,当你登录到Hotmail,一个Cookie就将被创建以允许你访问在这个域下的所有服务,但这个cookie如果被人得到,则攻击者可以伪造登录凭证,甚至在没有E-Mail地址的时候就可以实施非法进入,因为微软并没有对一次登录尝试的IP做出限制,通过XSS,攻击者可以向Hotmail的登录脚本中向微软的服务器注入一些"货 ",例如javascript之类的东西,可以用 PHP, ASP, CGI只要你喜欢的东西编写.

这里有非常详细的原理.

查看:Hacking Hotmail trough XSS

知识,什么是XSS:
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的.XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性.