Mein Vorname ist Bobby'); DROP TABLE Students; --

Gefunden im Internet ...

... kein Kommentar

XSS-Angriffe über META-Felder

Aus dem heise-Newsticker: nettes Beispiel für Cross-Site-Scripting-Angriffe über Datenfelder, von denen man das eigentlich nicht javascript:void(0)erwarten würde. Im konkreten Fall wurde von nCircle in den Meta-Daten von SSL-Zertifikaten und den WHOIS-Domian-Informationen JavaScript-Code eingetragen.
Konkrete Angriffsmöglichkeiten bei bestimmten Web-Applikationen hat's darüber auch schon gegeben.

nCircle hat diese "Meta Information Cross Site Scripting"-Schwachstelle (MIXSS) unter dieser Seite beschrieben.

Richtig neu ist das aber nicht. Der Grundsatz 'never trust external data' gilt natürlich auch für solche Informationen. Als weitere potenzielle Quellen werden z.B. die Banner von SMTP-Servern und die Header-Informationen von HTTP-Servern genannt.