Als ich letztens wieder auf einer meiner Streiftouren durch das WWW war, stolperte ich mal wieder über blog.de und die Stellenausschreibung eines Freiberuflichen PHP-Entwicklers für die Seite. Also schnell Bewerbung getippert und mit den nötigen Unterlagen abgeschickt. Nun wie nicht anders zu erwarten erstmal keine Rückmeldung.
Also hab ich mir die Seite mal etwas genauer angeschaut. Zwecks XSS Lücken. Siehe da nicht lange musste man suchen, hatte man auch schon das erste nicht ordentlich validierte Eingabefeld gefunden, nun ganz dumm waren sie nicht, das muss man ihnen schon lassen, wenn man versucht aus dem Tag auszubrechen wird das gefiltert. Aber wer will schon aus einem Eingabefeld ausbrechen wenn er diesem auch einfach weitere properties und javascript Eventhandler hinzufügen kann 
.
Nun mehr sei an dieser Stelle nicht gesagt, Leute die sich etwas damit auskennen werden die Lücken schon selbst finden, vorhanden sind Sie auf jeden fall. Dazu braucht man noch nicht mal einen Account dort, wer weiß was sich damit dann noch alles anstellen lässt.
Was lernen wir wieder einmal daraus, nunja Validierung und Testing insbesondere auf XSS Lücken scheint immernoch einen viel zu geringen Stellenwert bei Unternehmen zu haben, zieht man schließlich keinerlei Profit daraus. Solange bis es zu mittelschweren Imageschäden kommt, siehe StudiVz und konsorten. Ja diese ganzen Web 2.0 möchtegern startups.