Um sich die Wirkung und das Ausmaß eines XSS-Angriffs auszumalen, möchte ich einige Beispiele aus den letzten Jahren einbringen:

Im Jahre 2010 verschafften sich Cracker (im Sinne von destruktiven Hackern) Zugang zu verschiedenen Servern der Apache Foundation [1].
Dieser Angriff wurde durch ein Ticket mit manipulierte Webadresse durchgeführt.
Durch dieses Ticket sollte die Cookie-Session des angemeldeten Users gestohlen werden (Session stealing).

Durch diesen und einen zweiten, parallelen Bruteforce-Angriff erlangten die Angreifer dann die Kontrolle über den JIRA-Server, wo sie ungehindert Dateien durchstöbern und herunterladen konnten. Zusätzlich wurden Passworteingaben abgefangen.

Die Folgen waren, dass die Server für einige Stunden offline waren, die Passwörter geändert, die Sicherheitslücken gestopft und der Hauptserver komplett ausgetauscht werden musste.


Im Oktober 2005 wurde ein XSS-Wurm in MySpace entdeckt, welcher innerhalb von 20 Stunden über eine Millionen Profile befiel.

Der Entwickler des Wurms Samy Kamkar, dessen Vorname auf der Bezeichner des Wurms ist, zielte darauf ab, die Freundesliste des Entwicklers zu füllen.
Sobald jemand auf ein „infiziertes“ Profil klickte, lud das JavaScript-Script und addete Samy Kamkars Account zur Friendlist hinzu.
Zudem erschien ein „Status“-Post mit dem Inhalt: „but most of all, Samy is my hero“.

Nachdem MySpace den Wurm entdeckte, schlossen sie die Lücke und verklagten Kamkar.
Der Entwickler wurde zu drei Jahren Computerabstinenz, 90 Tagen gemeinnütziger Arbeit und einer Entschädigung in unbekannter Höhe verurteilt.
Der Wurm ist und bleibt trotzdem der sich am schnellsten verbreitende Wurm in der Computergeschichte.