XSS-Reports schreiben, die Entwickler wirklich beheben können
Ein guter XSS-Report erklärt Kontext, Quelle, Sink, Impact und Fix, ohne das Team raten zu lassen.
Ein nützlicher XSS-Report beginnt und endet nicht mit einem Payload. Der Payload beweist etwas, aber das Entwicklungsteam muss verstehen, was wo gebrochen ist.
Kontext erklären
Beschreibe, ob die Eingabe in HTML, einem Attribut, einer URL, einem Script oder einem DOM-Sink landet. Nenne den genauen Reproduktionspfad und den nötigen Account-Zustand.
Minimale Evidenz zeigen
Ein Screenshot mit alert(1) reicht selten. Füge gesendete Eingabe, gerenderte Ausgabe und den Grund hinzu, warum der Browser Code ausführt. Wenn CSP blockiert, gehört der Konsolenfehler dazu.
Konkreten Fix vorschlagen
Schreibe nicht nur „Input sanitizen“. Sprich über kontextuelles Encoding, sichere DOM-APIs, das Entfernen von innerHTML oder passende Sanitization. Weniger Mehrdeutigkeit führt schneller zum Fix.