Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 9/4/2010
Oplysninger fra DNS og andre tjenester kan bruges i cross-site scripting-angreb, har en sikkerhedsforsker opdaget.Tyler Reguly fra sikkerhedsfirmaet nCircle kalder angrebsmetoden for Meta-Information Cross Site Scripting, forkortet miXSS.
Han understreger, at den nok har været kendt tidligere, men at man ikke før har kunnet kategorisere den.
Metoden går ud på, at en angriber fx lægger Javascript-kommandoer ind i et tekstfelt i DNS. Når man foretager et DNS-opslag ved hjælp af en web-applikation, afvikles scriptet, hvis applikationen ikke filtrerer potentielt skadelige tekstelementer fra.
Tyler Reguly har fundet flere websteder, hvor scriptkommandoer fra opslag i DNS, Whois og lignende blev udført. Efter at han kontaktede dem, har nogle af dem indført filtrering, der lukker for sårbarheden.
Nogle kommentatorer mener, at der ikke er tale om en ny kategori af cross-site scripting-angreb, men blot om det velkendte problem med manglende input-validering i web-applikationer.