Cross-Site Scripting (XSS)

Was ist Cross-Site Scripting (XSS)?

Cross-Site Scripting (XSS) ist ein bekanntes Sicherheitsproblem bei Webanwendungen. Es findet sich regelm├Ą├čig in der OWASP Top 10, eine Liste h├Ąufig vorkommender Sicherheitsschwachstellen von Webanwendungen, die von der Non-Profit-Organisation Open Web Application Security Projects herausgegeben wird.

Beschreibung

Cross-Site Scripting (XSS) ist eine Angriffsart, mit der Benutzer einer Website gef├Ąhrdet werden k├Ânnen. Ziel ist es meist, sensible Daten des Benutzers zu erlangen, um beispielsweise sein Benutzerkonto zu ├╝bernehmen. Die Ausnutzung eines XSS-Fehlers erm├Âglicht es dem Angreifer, clientseitig b├Âsartige Skripte in Webseiten einzuf├╝gen, die von Benutzern angesehen werden. Cross-Site Scripting (XSS) kann z.┬áB. in JavaScript und VBScript auftreten.

Cross-Site-Scripting geschieht, wenn eine Webanwendung von einem Nutzer Daten annimmt und diese ohne ├ťberpr├╝fung des Inhalts an einen Browser weitersendet. Dadurch ist es einem Angreifer m├Âglich, Skripte an den Browser des Opfers zu senden und sch├Ądlichen Code auf der Webseite dieses Nutzers auszuf├╝hren.

Ein Beispiel ist die ├ťbergabe von Parametern an ein Skript auf Serverseite, das eine dynamische Webseite erzeugt. Dies kann ein Eingabeformular sein, wie in Webshops, Blogs und Wikis ├╝blich. Die eingegebenen Daten werden auf der Webseite als Seiteninhalt ausgegeben, sobald die Seite von einem Nutzer aufgerufen wird. Dadurch ist es m├Âglich, manipulierte Daten an Nutzer zu senden, solange das Serverskript dies nicht verhindert.

Auswirkungen

Typische Angriffsarten sind das Entf├╝hren von Benutzer-Sessions und Phishing-Angriffe. Angreifer k├Ânnen mit Cross-Site Scripting (XSS) alle Cookies lesen, die nicht durch das HttpOnly-Attribut gesch├╝tzt sind, einschlie├člich Sitzungscookies. Auf diese Weise k├Ânnte ein Angreifer die Sitzung ├╝bernehmen. Ein Angreifer kann ferner Seiteninhalte f├╝r den Nutzer manipulieren. Er kann ferner alles tun, was der angemeldete Nutzer tun k├Ânnte. Dazu kann auch Zugriff auf die Webcam, das Mikrofon oder den Standort des Benutzers geh├Âren. Im Falle eines Administrators als Nutzer ├╝bernimmt der Angreifer dessen Rechte.

Vermeidung

Potenziell gef├Ąhrlicher Code muss erkannt und abgewiesen werden. Wie dies geschieht, h├Ąngt vom jeweiligen Kontext ab. Anwendungen sollten im Hinblick auf das Risiko von XSS entwickelt werden, um so wenig Schaden wie m├Âglich dadurch zu erm├Âglichen. Zwei der bekanntesten Methoden hierf├╝r sind der HttpOnly-Parameter f├╝r Cookies, der den Zugriff auf Cookies durch JavaScript verhindert, und das Sicherheitskonzept Content Security Policy (CSP).


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte