Samy ist mein Held

Heute hatten wir einen prima internen Workshop zum Thema Cross-Site-Scripting. Da haben wir uns als Beispiel den MySpace-Wurm angeschaut, der sich an allen Sicherheitsmaßnahmen vorbeigemogelt hat. Der Macher hat auf einer Website ausgeführt, wie er es gemacht hat - brilliant. Und es lief in etwa so: wenn man sich Samys Profil angeschaut hat, wurde er automatisch zum Freund gemacht, hing "und Samy ist mein Held!" an das Profil des Besuchers und setzte den gleichen Code in das Profil des Besuchers. So breitete sich der Wurm in Windeseile in MySpace aus und sorgte für allerlei Verwirrung und Teenager-Angst.