…lassen sich am besten die Mauern stärken. Wer seine Applikation gegen XSS und Co. härten möchte, muss zunächst erst mal mögliche Angriffspunkte ausmachen und ausführlich testen.
Eine große Rätselaktion zu starten, ist an dieser Stelle mit Sicherheit nicht angebracht. Wenn man erfolgreich sein und konkrete XSS Tests durchführen möchte ist man mit dem XSS Cheat Cheat am besten bedient. Der Reihe nach werden divierse XSS Attacken fürs Copy/Paste in Textfeldern angeboten.
Die meisten Attacken können sogar dann erfolgreich sein, wenn etwaige Filter falsch programmiert wurden. Das bezieht sich ins besondere auf Groß- und Kleinschreibung, Tag-Verschachtelung und Attributwert Kapselung. Ganz vorbei ist es mit den meisten selbst programmierten Filtern, wenn verschiedene Angriffe kombiniert werden.
Das zeigt ganz eindrucksvoll die gigantische Galerie von einer Armada von Angriffsmöglichkeiten. Die meisten zielen auf mehrere Implementierungsfehler ab. Ein kleines Beispiel spricht Bände:
<IMG SRC=JaVaScRiPt:alert('XSS')>
Übrigens sind alle Attacken kommentiert und erklärt sowie mit einer Browserkompatibilitätsliste versehen.
Zusätzlich ist es möglich, ein RSS Feed zu abonieren mit dem man immer auf dem aktuellen Stand bzgl. Webapplikationshärtung bleibt. Am Ende des Cheat-Sheets sind einige Umrechner eingebaut, die es z.B. ermöglichen Base64 zu dekodieren, dWord Werte für IP-Adressen zu errechnen, Hex-Umrechnungen, usw.
Ein Besuch lohnt sich auf jeden Fall!
