Кто-то знает надежные глюки обработки http-запросов (с данными форм) скриптами?
У цели поля форм фильтруются отлично. Может, подделка http-запроса позволит запустить свой код со стороны сервера?

эх.... со сотороны сервеа запускаются такие скрипты как .php и .pl ну и .cgi + еще некоторые СЕРВЕРНЫЕ языки... если ты хочеш провести XSS то только с формы... и это будет происходить не на сервере а у клиента в браузере!!!
Если только значения формы не передаются ф-ии system() и ей подобной... тогда можно попробовать чтото типа: ;id;

При работе с формами классическими являются уязвимости классов SQL-injection и XSS. Подделка HTTP запросов в таких случаях нужна, если помимо введенных тобой в форму данных отправляются еще какие-то hidden поля, либо введенные тобой данные фильтруются JavaScript'ом (ну или vbscript'ом) перед отправкой.
Хотя я встречал и php-инъекцию в hidden поле :)

Например если есть такой (а они есть)) скрипт который сохраняет реф когда оставляешь камменты ( и ее может видеть только Админ) то можно подделать ее через хттп запросы а примером тому является Coppermine Fotogallery (помоему немного старая версия)
потом можно с куками замутить=)
еще можно ПОСТ запрос замутить на бажные скрипты-получится выполнение комманд(обычно .cgi .pl скрипты)

А есть ещё telnet :)

еще можно ПОСТ запрос замутить на бажные скрипты-получится выполнение комманд(обычно .cgi .pl скрипты) ой мля, улыбнуло не по-деццки :)))))
на бажность скрипта никак не влияет пост запрос или гет,просто в скриптах бывают проверки на гет или пост запрос...

скриптах бывают проверки на гет или пост запрос...
а помоему ты и я сказали одно и тоже.. нет?
я знаю что не влияет я знаю что в скрипте проиходит из за недостатоыной обработки входных данных... может я как то нелепо сказално чтоб ему было понятно