Aus dem Symantec Internet Security Threat Report: 69% aller Vulnerabilities passieren in Webapplikationen. Die Mitre Corporation CVE Datenbank bestätigt: 21,5% aller Lücken sind XSS Lücken.
Johann-Peter Hartmann, CTO Mayflower GmbH, zeigte auf der AJAX in Action in Frankfurt dieser Woche, warum insbesondere Web2.0 und XSS besonders weh tun: bis zu 100% der üblichen MVC (Model, View, Controller) Struktur können im Browser stattfinden. Daneben erfolgt eine professionelle GUI-Erstellung in Webapplikationen mit JavaScript-Widgets und entsprechender Komponenten-Libraries.
All das sorgt dafür, dass mehr und mehr JavaScript innerhalb von Webapplikationen stattfindet und damit mehr und mehr Logik auf den Client verlagert wird. Als Folge dessen entstehen neue Angriffsvektoren, ausgelöst durch die Verwendung von mächtigen JS-Toolkits, der JSON-Datenformatübertragung und sogar bei der Verwendung von RSS.
Die neu aufgelegten Slides zum Vortrag (Stand: 2012) finden Sie auf Slideshare zum anschauen und herunterladen.
Der link zur PDF geht leider nicht
Seit 2006 ist zuviel Zeit ins Land gegangen, die originale Datei haben wir nicht mehr finden können. Immerhin – Johann hat die Slides in überarbeiteter Form vergangenes Jahr noch einmal auf Slideshare hochgeladen: http://de.slideshare.net/johannhartmann/web-20-revisited