This entry was posted on Dienstag, Juni 19th, 2007 at 16:45 and is filed under Sneaky, Sneaky. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
X-Man Labs
Möge die Macht mit uns sein!
XSS soweit die Augen reichen
Ich finde es immer wieder erschreckend zu sehen wie wenig sich die Webmaster um ordentlichen XSS Schutz bemühen. Ich würde schätzen 90% aller dynamischen Websites haben XSS Lücken.
Dabei ist es wirklich einfach dem vorzubeugen z.B. mit dieser Funktion für PHP.
Hier noch ein paar lustige Beispiele aus der Praxis:
IBM versucht auf dieser Seite seinen Kunden zu erzählen was sie tun müssen um sich gegen XSS Injections mit dem IBM Produkt zu schützen. Leider ist auf der Seite eine XSS Injection möglich 
In Google Documents ist es möglich in ein Dokument XSS zu Injecten
Mit XSS kann man allen möglichen Scheiß anstellen z.B. Cookies stehlen. Was noch alles möglich ist müsst ihr leider selber recherchieren. 
Zum Schluß findet ihr hier noch ein Video das euch zeigt wie einfach es ist XSS Lücken zu finden und diese auszunutzen.
Ein weiteres gutes Tool um eure Seite nach XSS zu scannen ist der Scanner von Acunetix