Как сообщается на форуме Forum.Protocols.ru, по сообщению Beyond Security браузеры Internet Explorer v6 SP1 и Konqueror v3.2, поддерживающие функции FTP-клиента, могут использоваться злоумышленниками для рассылки спама при посещении пользователями сайтов со специально сформированными URL. Браузер Mozilla Firefox v1.0 такой уязвимости не имеет. Уязвимые браузеры принимают в URL коды %0a и %0d (CRLF). В URL для FTP эти коды служат для указания имени пользователя и пароля. Благодаря некоторому сходству в работе протоколов FTP и SMTP, данная особенность браузеров может использоваться для отправки сообщений по электронной почте. Приведенная ниже ссылка - http://dsbl.org/testingground/IE-FTP-SMTP-link/ показывает пример использования этой особенности браузеров. Если после перехода по этой ссылке, вы посмотрите код страницы, то увидите строку URL
Код:
ftp://foo%0d%0aHELO%20mail%0d%0a
MAIL%20FROM%3a<>%0d%0a
RCPT%20TO%3a<ian-example%40penguinhosting.net>%0d%0a
DATA%0d%0a
Subject%3a%20hacked%0d%0a
To%3a%20ian%40penguinhosting.net%0d%0a%0d%0a
hacked%0d%0a.%0d%0a:bar@mx.penguinhosting.net:25/
которая позволяет отправить сообщение по электронной почте.
Источник