"mys­pace - a place for fri­ends" könn­te man wohl ver­ein­facht als Kon­takt­bör­se be­schrei­ben. Jedes Mit­glied kann auf sei­ner Seite ein Pro­fil von sich selbst hin­ter­le­gen. Der Be­nut­zer samy fand her­aus, daß es mög­lich ist, un­ge­fil­ter­tes HTML hier ein­zu­schleu­sen... und schrieb den wohl ers­ten XSS-Wurm.

Er er­stell­te ein Skript, mit dem der Be­trach­ter au­to­ma­tisch samy auf die Liste sei­ner Freun­de setzt. Oben­drein er­gänzt das Skript das Pro­fil des Be­trach­ters wie­der­um um den Skript­code.
Auf sei­ner Web­sei­te kann man die Ge­schich­te nach­le­sen, wie Samy in we­ni­ger als 24h mehr als 1.000.000 Freun­de bekam :-) Glück­li­cher­wei­se war hier nur Spiel­trieb Mo­ti­va­ti­on - je­mand mit kri­mi­nel­ler En­er­gie hätte auf die­sem Weg ge­nau­so IE-Ex­ploits, etc. in­te­grie­ren oder die Ac­counts auf an­de­re Weise miß­brau­chen kön­nen.
Auf alle Fälle ein mah­nen­des Bei­spiel für jede Web-En­gi­nee­ring-Vor­le­sung...
Samys Re­ak­ti­on äh­nelt der des Au­tors des ers­ten In­ter­net-Wurms: Oh wait, it's ex­po­nen­ti­al, isn't it. Shit. (...) I'm can­ce­ling my ac­count. This has got­ten out of con­trol.
Up­date: Für alle, die von Samys Ge­schich­te noch nicht genug haben: Goog­le Blo­go­scope hat ein In­ter­view mit Samy ver­öf­fent­licht.
(An­hang: Lo­ka­le Ko­pi­en der Texte)