#xss

DOMXSS – Angriffe aus dem Nirgendwo

Eine der am meisten unterschätzten und am häufigsten belächelten Klassen an Sicherheitslücken ist ohne Zweifel das DOM-basierte Cross Site Scripting, kurz DOMXSS. Als kleiner Bruder vom "echten" XSS, der über GET oder POST hereinpoltert und seine Spuren im Client wie auch meist den Serverlogs hinterlässt, hat man es auch nicht leicht. Herkömmliches Cross Site Scripting hat in den letzten Wochen und Monaten viel Presse bekommen – und ist unter Sicherheitsexperten spätestens seit Samy Kamkars mehr oder weniger böswilligen Angriff auf MySpace im Jahre 2005 bekannt.

HTML sicher und pur

Das Entwicklerteam des HTML-Purifiers hat mit Version 4.1 ein Security-Release veröffentlicht. Es soll die Einbindung von Cross-Site Scripting (XSS) über Sicherheitslücken des Internet Explorers verhindern.

TYPO3-Round-up

Das Core-Team von TYPO3 hat vier Sicherheitslücken gestopft, von denen die Bedrohung durch eine von ihnen als Hoch eingestuft wurde. Außerdem wurde die erste Alpha von TYPO3.4.4 veröffentlicht. Download

X
- Gib Deinen Standort ein -
- or -