Помните с год назад тИЦ накручивали XSS’ом?
Кто не вкурсе, то крутили тИЦ, с помощью простой xss инъекции вида:
%3E%3Ca+href=http://ВашСайт.ru%3Eваш%20сайт%3C%2Fa%3E%3Ca+alt%3D%0D%0A
Для тех, кто в танке: “%3E%3Ca+” — это закодированное “><а+”. Символ > до открывающегося тега “<a”, втыкали для того, чтобы обработчик не резал тег “<a”. А плюсик вставляли вместо пробелов, дабы все шло одной строчкой.
В мае 2008го яша пофиксил xss вида:
http://www.mdf.ru/search/?text=%3E%3Ca+href=http://ВашСайт.ru%3Eваш%20сайт%3C%2Fa%3E%3Ca+alt%3D%0D%0A
http://www.rzs.ru/search/?q=%3E%3Ca+href=http://вашСайт.ru%3EВаш%20сайт%3C%2Fa%3E%3Ca+alt%3D%0D%0A
Так вот, мало кто знает, но вначале этого года тИЦ накручивали вот такой вот уязвимостью в редиректе:
http://magmetall.ru/go.htm?href=http://ваш_сайт.ru
А скармливали такого типа ссылки, как всегда с помощью страничек на narod.ru:
http://kiloragika.narod.ru/
http://sapeserge.narod.ru/
И яндекс хавал… до поры, до времени.
Сейчас же, к сожалению, данный способ вам может принести максимум 10 единиц тица…