Diesmal geht es um eine Art von XSS-Angriffen, die auf eine herkömmliche XSS-Schwachstelle als Einfallstor angewiesen ist. Denn beim sogenannten Resident XSS wird der Schadcode über eine der bekannten XSS-Schwachstellen (also reflektiertes, peristentes oder DOM-basiertes XSS) eingeschleust und danach im Browser verankert. Es handelt sich also eigentlich weniger um einen neue Art von XSS als um einen weiteren Angriff über XSS.
Bisher ging es mit reflektierten und persistenten XSS um Angriffe, die über die Webanwendung auf dem Server laufen. Thema der heutigen Folge ist das DOM-basierte XSS, dass ausschließlich im Client-Code im Webbrowser abläuft.
Zur Beschreibung des MySpace-Wurms Samy gehört natürlich auch dessen Sourcecode. Den finden Sie hier, in der Beschreibung sind einige Stellen mit den entsprechenden Stellen im unformatierten Code verlinkt. Diese sind rot hervorgehoben - und ihrerseits mit den entsprechenden Stellen im formatierten Code verlinkt.
Eine persistente XSS-Schwachstelle in einer Webanwendung kann unter Umständen von einem Webwurm zur Verbreitung genutzt werden. Der infizierte dann nicht wie ein herkömmlicher Computerwurm zig verschiedene Server oder Benutzerrechner, sondern die Profile der Benutzer der betroffenen Webanwendung oder ähnliches. Er ist also auf den einen Server mit der betroffenen Webanwendung beschränkt, kann dort aber auch einigen Schaden anrichten.
Der erste, oder zumindest der erste allgemein bekannt gewordene, Web-Wurm war der MySpace-Wurm Samy, der sich am 4. Oktober 2005 auf MySpace ausbreitete.