Mathias, 12, hittade Googles säkerhetshål

hah. Fan va bra
Så det ska se ut. 20 lax och 12 år...
Grymt. Google borde ha mera koll... men bra att dom betalade iallafall.

Hmmmm... Ingen som tror att ungen har en random farsa som vill ge sin teling lite lyse i cyperspace?

Många men det vore roligt om det inte var så. Är ju bara kolla upp vad hans far/mor arbetar med och har studerat om du vore intresserad av att ta reda på det.

Kan någon förklara hur gör man för att upptäcka dessa säkerthetshål?

Man kan använda verktyg som förenklar sökandet, men det är alltid bäst att söka manuellt då de automatiserade verktygen ofta missar de mer avancerade säkerhetsbristerna.

XSS brukar oftast hittas via källkoden och en del brukar finnas när man ska submita något, t.ex en sökfunktion eller dylikt.

Tänk dig en sökfunktion och du söker med <script> - taggar, detta skriptet sparas i källkoden och faktiskt exkaveras. Inom skripttaggar så använder du javascript, men om du läser på lite mer om XSS på nätet så kommer du se att det finns DOM-baserade sårbarheter. Oftast har man <script> -taggarna uppe i adressfältet och detta kallas för non-persistent XSS och är som sagt den absolut vanligaste typen av XSS.

Jag råder dig till att använda program till att hitta XSS, om programmet skulle hitta något så kan du ju inspektera manuellt och säkert hitta liknande på samma domän.

Acunetix WVS är ett känt program för att leta sårbarheter, bland annat XSS.

Tjena, jag gjorde just ett Flashback konto just för att svara på detta, tack så mycket!

Tack så mycket!