FirefoxがIFRAME内だとクロスドメインポストに警告を表示しない、という問題。
[Full-disclosure] Firefox 1.5 allow cross-domain posting to secured pages
just drop a hidden IFRAME in the form, set its src to username:password@123.com and Firefox is fooled into thinking that it is not a cross-domain posting. So no warning pops up. You can also drop the U/P on the URL in the forms action since the IFRAME has already logged in.
例としてデフォルトユーザ/パスワードのルータのFirewallを解除できるとしています。デフォルトユーザ/パスワードのままのルータは直接攻撃が可能なのですが、攻撃元を判り辛くするためにクラックしたWebサーバに攻撃用ページを作って、という事が考えられるかな。