Da hatte ich ja wieder eine einfallsreiche Idee…
Gehen wir die Liste der Startups auf “deutsche-startups.de” doch einfach einmal durch und spielen ein Spiel…
Die Regeln sind ganz einfach.
Wir suchen das erste Formular auf der Seite und probieren dort eine JS-Funktion mittels XSS einzuschleusen.
Macht keinen Aufwand, ist schnell gemacht – und – führt schnell zum Erfolg.
Ist schon spät und ich habe garkeine Zeit. Aber morgen erzähle ich dann anhand dieses Beispiels, warum es nicht reicht, einfach nur bei Usereingaben, die wieder ausgegeben werden, Tags rauszufiltern. Und dass man nicht immer GET-Variablen dafür braucht 
Wenn schon strip_tags (php-Beispiel), dann muss wenigstens auch noch das Hochkomma ‘ und die Anführungszeichen ” entschärft werden.
Klar, bei solchen Seiten, die laut Alexa-Rank nur ein wenig besser gerankt sind, als diese hier interessiert einen XSS nicht. Aber wer sich Deutsches Startup schimpft, der könnte auch….Ach, egal
Ui, jetzt noch gespannt, auf Jobs auf dieser Seite geklickt, und was sehe ich? Nein, kein Sicherheits-Beauftragter wird gesucht, auch kein erfahrener Web-Entwickler… Wir suchen Praktikanten.
OK, wer sich dort als Praktikant bewerben will und nicht in den Süden will, dem mache ich ein Angebot:
Komm hier her, und Du lernst auch etwas. Bringe schon ein paar PHP-Kenntnisse mit und ich zeige Dir, wie Du sicher programmierst. Dann hast Du schon etwas gelernt und kannst schon auf das Internet losgelassen werden, vielleicht auch schon bald Dein eigenes, sicheres Startup gründen 
