<div dir="ltr">hm, in Belgium we take percentage of cacao very seriously :-)<div>Seba</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Oct 23, 2013 at 8:13 PM, Eoin Keary <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>My view on this is like chocolate.</div><div>80% cocoa, 70%? 40% but it's all chocolate.</div>
<div><br></div><div>Dom xss is rendered via JavaScript (sink) Reflected is not but rather simple reflection.</div><div><br></div><div>Dom may or may not go the the server but is rendered in JavaScript.</div><div>Anchors (#) are a good example of not going to server but not the only exams of Dom.</div>
<span class="HOEnZb"><font color="#888888"><div><br><br>Eoin Keary<div>Owasp Global Board</div><div><a href="tel:%2B353%2087%20977%202988" value="+353879772988" target="_blank">+353 87 977 2988</a></div><div><br></div></div>
</font></span><div><div class="h5"><div><br>On 23 Oct 2013, at 03:56, Neil Smithline <<a href="mailto:neil.smithline@owasp.org" target="_blank">neil.smithline@owasp.org</a>> wrote:<br><br></div><blockquote type="cite">
<div><div dir="ltr">For kicks I googled DOM XSS. The first three links were to OWASP (go OWASP!). I ignnored those as I consider them tainted references. The next four links were:<div><ul><li><a href="http://j.mp/1626ZMW" target="_blank">http://j.mp/1626ZMW</a></li>



<li><a href="http://j.mp/16ry5iN" target="_blank">http://j.mp/16ry5iN</a><br></li><li><a href="http://j.mp/1ccJUMp" target="_blank">http://j.mp/1ccJUMp</a><br></li><li><a href="http://j.mp/He1yS8" target="_blank">http://j.mp/He1yS8</a><br>


</li></ul><div>At least to me, all of the references seem to say that DOM XSS is based on where in the browser the unsanitized data is used in a risky manner and not how the data got there. The last reference above is from the MediaWiki's development guide. It succinctly states:</div>


</div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><p style="margin:0.4em 0px 0.5em;line-height:19.190340042114258px;color:rgb(37,37,37);font-family:sans-serif;font-size:12.727272033691406px">

This class of XSS is distinct from Reflective XSS (type-1 XSS) and Stored XSS (type-2 XSS), since the server is not returning executable JavaScript to the browser. Instead, data that has been sanitized by the server, or possibly never sent to the server, is converted to executable JavaScript by the existing code running on the page.</p>


</div></blockquote><div><span style="line-height:19.1875px;color:rgb(37,37,37);font-family:sans-serif">Neil</span><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Oct 22, 2013 at 8:38 PM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>Hi Serg<br><br></div>I'm going to read very careful your comments before I  give my final humble opinion, but I think for sure that we should take a look on this since during the Mentor summit - Google summer of Code which I had the opportunity to assist last weekend, a very respectful and blackhat speaker this year mentioned to me that there is a lot of info in the OWASP wiki that is not correct. You might have found this issue,however I would like to back up my info with good references and resources (that does not take away what you have mentioned is correct)<br>



<br></div><div>regards<span><font color="#888888"><br><br></font></span></div><span><font color="#888888"><div>Johanna<br></div><div><br></div></font></span></div><div class="gmail_extra"><br>

<br><div class="gmail_quote"><div><div>On Tue, Oct 22, 2013 at 7:05 AM, Serg <span dir="ltr"><<a href="mailto:serg@owasp.org" target="_blank">serg@owasp.org</a>></span> wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr">







<p>Hi All</p>
<p>I've recently had a look at the OWASP DOM based XSS definition, which looked a little off.</p><p>The TL;DR version: the DOM based XSS definition according to OWASP (<a href="https://www.owasp.org/index.php/DOM_Based_XSS" target="_blank"><span>https://www.owasp.org/index.php/DOM_Based_XSS</span></a>) is only 50% correct (or the pessimistic view - 50% wrong) and misleading.</p>





<p>I am basing this on the 'Definition' examples (<a href="https://www.owasp.org/index.php/DOM_Based_XSS" target="_blank"><span>https://www.owasp.org/index.php/DOM_Based_XSS</span></a>), not the 'Advanced Techniques and Derivatives' section.<br>




</p>
<p>The first part of this document is incorrect. <br></p>
<p>In layman's terms, the Reflected XSS, request/JS is first sent to the server, it is then reflected, as is, in the response, hence the name.<br></p>
<p>Example:<br></p>
<p><span><a href="http://www.some.site/page.html?default=xss_attack_here" target="_blank">http://www.some.site/page.html?default=xss_attack_here</a></span></p>
<p>Since the query string gets sent to the server and reflected back, this is a Reflected XSS, not DOM-based.<br></p>
<p>The 'xss_attack_here' part is irrelevant here. As long as it is sent to the server and reflected back, it's a Reflected XSS vulnerability. Whether it runs in DOM or not is irrelevant, technically everything runs in DOM... <br>




</p>
<p>My understanding of DOM based XSS, is: it is processed entirely in the web browser, the request with XSS payload is not sent to the server.<br></p>
<p>As far as I know, the only way to achieve that is to use fragment identifiers, the part of the URL after the '#' (including '#') is not sent to the server as part of the request.<br></p>
<p>Based on that, I am fairly certain that the current OWASP definition (<a href="https://www.owasp.org/index.php/DOM_Based_XSS" target="_blank"><span>https://www.owasp.org/index.php/DOM_Based_XSS</span></a>) is wrong and misleading.<br>




</p>
<p><br></p>
<p>Thoughts?</p><span><font color="#888888"><br clear="all"><div><br></div>-- <br>Serg
</font></span></div>
<br></div></div><div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></div></blockquote></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a></span><br>
<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></div></div></div><br>_______________________________________________<br>

OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>