Door Thijzzz: aha, dus een XSS staat het toe dat ik een website bezoek, een lange url-toevoeging maak, en dan iets anders zie dan de website bedoelde.
dus een mailtje dat ik vanuit Rita spoof, kan een link bevatten naar haar website, waar ze dan om geld vraagt, (dat ik in de url geinjecteerd heb), zodat iedereen geld overmaakt naar mij. klopt dat ongeveer?
hm...
handig...
Dat is juist ja, maar er zijn nog meer mogelijkheden die kunnen worden uitgebuit zoals het aanmaken en daarna stelen van een Cookie. Misschien is dat nog wel veel gevaarlijker (in sommige gevallen).
Hoofdtopic: Als je zin en tijd hebt moet je de website van de VN (UN.org) eens nachecken, er zijn al een paar jaar flink wat lekken bekend die maar niet worden gedicht. Ikzelf heb meerdere XSS vurns gevonden en zelfs twee GET vars die een SQL Injectie vurn bevatten! Er zijn zoveel (bekende) websites op te noemen die een XSS of SQL injection vulnerability hebben; maar daarbij moet je niet vergeten dat je met een groot percentage bijna niets kunt (i.v.m. o.a. permissies).