De lezers zullen zich nu wel afvragen waarom ze een Javascript pop-up zien met daarin de boodschap XSS. Blijkbaar is de cross-site-scripting attack die ik aanhaalde als voorbeeld in de blog over web application firewalls uitvoerbaar. U leest het goed. Als blogger kan ik dus Javascript uitvoeren die vanuit een 'trusted' omgeving wordt uitgevoerd. In vaktermen noemen we dit een persistent XSS want die wordt opgeslaan in de blog zelf.
Ik heb direct contact genomen met Google, maar blijkbaar moet ik heel veel moeite doen om ze te overtuigen dat dit effectief een security issue is. Ongelooflijk!
Dus er komt zeker een vervolg...
Monday, April 23, 2007
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment