XSS kann überall lauern
XSS kann in Foren, Weblogs, Online-Shops und überall, wo Eingaben auf dynamischen Websites möglich sind, erfolgen. Typische Einfallstore sind also Suchformulare, Login-Felder, Eingabefelder in Foren oder eben die Warenkörbe von Online-Shops, aber auch Mailclients, wenn die digitale Post als HTML-Mails oder Mails mit eingefügten Links vorliegen (übrigens müssen Links keineswegs immer angeklickt werden. Wenn ein Eventhandler wie onmouseover benutzt wird, reicht es schon aus, wenn der Anwender den Mauszeiger über einen Link bewegt).
Da dynamische Websites mittlerweile fast schon der Standard sind, können nahezu überall XSS-Attacken lauern. Die weite Verbreitung von AJAX als Schlüsseltechnologie des so genannten Web 2.0 dürfte zudem immer wieder neue Sicherheitslücken aufreißen, die sich dann teilweise auch für XSS-Angriffe ausnutzen lassen.
XSS-Lücken treten übrigens keineswegs nur in selbst gestrickten Websites auf, sondern werden in den gängigen Sicherheits-Mailinglisten nahezu ständig für bekannte und beliebte Anwendungen wie zum Beispiel phpMyAdmin oder Google Texte und Tabellen gemeldet. Eine XSS-Lücke wurde vor einiger Zeit auch im Online-Bezahlservice Papypal entdeckt.