Cross-Domain JavaScript Source File Inclusion

cross-domain-java-script

Copyright ┬ę Shutterstock / Trismegist san

Was ist Cross-Domain JavaScript Source File Inclusion?

Bei der Cross-Domain JavaScript Source File Inclusion beinhaltet die Seite eine oder mehrere Skript-Dateien von einer Drittanbieter-Domain.

Beschreibung

Wenn Drittanbieter-Funktionen wie ein Web-Widget, eine Bibliothek oder eine andere Funktionsquelle verwendet werden, muss die Software dieser Funktionalit├Ąt effektiv vertrauen. Ohne ausreichende Schutzmechanismen k├Ânnte die Funktionalit├Ąt b├Âswillig sein (entweder indem sie von einer nicht vertrauensw├╝rdigen Quelle stammt, gef├Ąlscht wird oder w├Ąhrend der ├ťbertragung von einer vertrauensw├╝rdigen Quelle ge├Ąndert wird). Die Funktionalit├Ąt kann auch ihre eigenen Schw├Ąchen enthalten oder Zugriff auf zus├Ątzliche Funktionen und Zustandsinformationen gew├Ąhren, die f├╝r das Basissystem geheim gehalten werden sollten, z. B. Informationen zum Systemstatus, vertrauliche Anwendungsdaten oder das DOM einer Webanwendung.

Dies kann abh├Ąngig von der enthaltenen Funktionalit├Ąt zu vielen unterschiedlichen Konsequenzen f├╝hren. Einige Beispiele umfassen das Injizieren von Malware, das Aussetzen von Informationen durch das Erteilen ├╝berm├Ą├čiger Privilegien oder Berechtigungen f├╝r die nicht vertrauensw├╝rdige Funktionalit├Ąt, DOM-basierte XSS-Sicherheitsanf├Ąlligkeiten, Diebstahl von Cookies von Benutzern oder die offene Umleitung auf Malware.

Die Folge kann sein, dass ein Angreifer b├Âsartige Funktionen in das Programm einf├╝gen kann, indem er das Programm veranlasst, Code herunterzuladen, den der Angreifer in den nicht vertrauensw├╝rdigen Kontrollbereich platziert hat, z. B. eine sch├Ądliche Website.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Vergewissern Sie sich, dass die JavaScript-Quelldateien nur von vertrauensw├╝rdigen Quellen aus geladen werden und die Quelle nicht vom Endnutzer der Anwendung kontrolliert werden kann.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/829.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte