Jag får tacka så mycket för omnämnandet! =)

Blev lite småförbluffad när jag läste om attacken morgonen efter natten då det hela spred sig. XSS-attacker borde ju vara det första man skyddar sig mot...

Lyckligtvis så var ju inte masken så illasinnad som den skulle kunna ha varit. Jag kan mycket väl tänka mig ett scenario där en sådan här attack används för att lura medlemmar att skicka premium-SMS eller liknande.

Ja såna här saker är blir man alltid förvånad när de händer. Även fast det inte är så konstigt. De flesta säkerhetsexperter är väl överens om att 90% av alla webbplatser har liknande brister.

Ja du, det skulle nog kunna ställa till ordentligt med skada om masken hade varit programmerad för att maximera skadorna. När betalningssystem och liknade finns inblandat kan det bli väldigt jobbigt.

XSS är inte helt lätt att skydda sig mot heller eftersom det är relativt nytt fenomen. Och det går ofta att variera attackvektorerna för att hitta nya hål och det gör valideraing av data svårt.

Men det gäller att lära sig att skydda sig, för vi lär se mycket mer av den här typen av attacker i framtiden.

Tack för att du publicerade koden för masken, det var lärorikt att se. Undrar lite hur du fick tag på den? Var du med när det hela hände? Och från vilken extern url låg koden på?

Jag gissar att han hittade den på den här sidan: http://pastebin.com/m439d0918 Går ett rykte på internet om att det skulle vara den i alla fall.. Vore kul att se ett screen på hur de nya pressentationerna såg ut, någon som har sätt det?

Tack för infon. Intressant sida Pastebin, men inte så lyckat om den används till att starta XSS-attacker från..

Jag har inte sett något screenshot från de drabbade profilerna men läst en del om incidenten på Flashback och Hamsterpaj.