<div dir="ltr"><div><div>Hi Serg<br><br></div>I'm going to read very careful your comments before I  give my final humble opinion, but I think for sure that we should take a look on this since during the Mentor summit - Google summer of Code which I had the opportunity to assist last weekend, a very respectful and blackhat speaker this year mentioned to me that there is a lot of info in the OWASP wiki that is not correct. You might have found this issue,however I would like to back up my info with good references and resources (that does not take away what you have mentioned is correct)<br>
<br></div><div>regards<br><br></div><div>Johanna<br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Oct 22, 2013 at 7:05 AM, Serg <span dir="ltr"><<a href="mailto:serg@owasp.org" target="_blank">serg@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">







<p>Hi All</p>
<p>I've recently had a look at the OWASP DOM based XSS definition, which looked a little off.</p><p>The TL;DR version: the DOM based XSS definition according to OWASP (<a href="https://www.owasp.org/index.php/DOM_Based_XSS" target="_blank"><span>https://www.owasp.org/index.php/DOM_Based_XSS</span></a>) is only 50% correct (or the pessimistic view - 50% wrong) and misleading.</p>


<p>I am basing this on the 'Definition' examples (<a href="https://www.owasp.org/index.php/DOM_Based_XSS" target="_blank"><span>https://www.owasp.org/index.php/DOM_Based_XSS</span></a>), not the 'Advanced Techniques and Derivatives' section.<br>

</p>
<p>The first part of this document is incorrect. <br></p>
<p>In layman's terms, the Reflected XSS, request/JS is first sent to the server, it is then reflected, as is, in the response, hence the name.<br></p>
<p>Example:<br></p>
<p><span><a href="http://www.some.site/page.html?default=xss_attack_here" target="_blank">http://www.some.site/page.html?default=xss_attack_here</a></span></p>
<p>Since the query string gets sent to the server and reflected back, this is a Reflected XSS, not DOM-based.<br></p>
<p>The 'xss_attack_here' part is irrelevant here. As long as it is sent to the server and reflected back, it's a Reflected XSS vulnerability. Whether it runs in DOM or not is irrelevant, technically everything runs in DOM... <br>

</p>
<p>My understanding of DOM based XSS, is: it is processed entirely in the web browser, the request with XSS payload is not sent to the server.<br></p>
<p>As far as I know, the only way to achieve that is to use fragment identifiers, the part of the URL after the '#' (including '#') is not sent to the server as part of the request.<br></p>
<p>Based on that, I am fairly certain that the current OWASP definition (<a href="https://www.owasp.org/index.php/DOM_Based_XSS" target="_blank"><span>https://www.owasp.org/index.php/DOM_Based_XSS</span></a>) is wrong and misleading.<br>

</p>
<p><br></p>
<p>Thoughts?</p><span class="HOEnZb"><font color="#888888"><br clear="all"><div><br></div>-- <br>Serg
</font></span></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>