Kijk maar eens naar deze cross site scripting (XSS-) aanval. In een dappere poging om iets van cachet te geven aan gortdroge websites zoals Who.is en MXtoolbox hebben scriptkiddies een speelse exploit geschreven. Het gat zit in de TXT-record, een extra DNS-record waarin tekst kan worden geschreven. Eenmaal gepakt, danst een website aan alle kanten, terwijl de bekende Harlem Shake uit je boxen schalt.

Volgens P-adresbeheerder RIPE-NCC is het geen DNS-probleem. "Het DNS-protocol is niet kwetsbaar - de aanval is het resultaat van een kwetsbaarheid in de webapplicatie en hoe deze de resultaten van een DNS-query verwerkt", vertelt directeur Wade Alcorn aan The Register. "Een firewall voor de webapplicatie kan deze aanval niet voorkomen. Dit scenario toont de noodzaak van veilig coderen aan en dat alle applicatie-ingangen moeten worden beschermd tegen aanvallers."

Bankfraudeurs

Een XSS-aanval wordt overigens niet altijd op een dergelijke luchtige manier uitgevoerd. De meeste XSS-lekken, die ontstaan door webdevelopers die fouten maken in hun scripts, zijn voer voor criminelen. Zo is het uitvoeren van eigen programmacode op sites een populaire middel van DDoS'ers en malwareverspreiders voor serieuze bankfraude.

Eén van de dansende sites: