Skip to content

Blog

Artikel, Leitfäden und Updates.

Verantwortungsvolle XSS-Tests hängen von Scope, sauberer Evidenz, Datenminimierung und dem richtigen Zeitpunkt zum Stoppen ab.
Ein praktischer Blick darauf, warum XSS-Werkzeuge interne URLs, private Fragmente und sensible Testnotizen nicht serverseitig verarbeiten sollten.
Die Payload-Auswahl ist weniger wichtig als der Injektionskontext: HTML, Attribute, URLs, Scripts und DOM-Sinks scheitern unterschiedlich.
Content Security Policy ist nützlich, ersetzt aber kein kontextuelles Encoding, sichere DOM-APIs oder das Entfernen gefährlicher Sinks.
Eigene Templates sind nützlich, brauchen aber Validierung, klare Namen und Grenzen, damit Testabläufe nachvollziehbar bleiben.
DOM-XSS versteht man besser über Quellen, Transformationen und Sinks als über zufällige Payload-Versuche.
Lokale Payload-Sammlungen helfen beim Wiederholen von Tests, ohne das Werkzeug zu einem entfernten Speicher sensibler Daten zu machen.
Ein XSS-Playground sollte Ausführung isolieren, Grenzen erklären und keine falsche Sicherheit vermitteln.
Filter können Rauschen reduzieren, normalisieren, blockieren oder verändern Payloads in Produktion aber oft so, dass sich der Test ändert.