Persistent XSS (Attack)

Was ist Persistent XSS (Attack)?

Beschreibung

Für einen Angreifer sind Bereiche die entweder viele Benutzer oder besonders interessante Nutzer anzeigen besonders interessant für das Platzieren von schädlichen Inhalten. Interessante Nutzer verfügen in der Regel über besondere bzw. erhöhte Rechte innerhalb der Anwendung oder interagieren mit vertraulichen Daten.

Sollte einer diese Nutzer die implementierten schädlichen Inhalte ausführen, so kann der Angreifer womöglich privilegierte Vorgänge für den Benutzer ausführen oder auf vertrauliche Daten des Benutzers zugreifen. Der Angreifer kann zum Beispiel XSS in eine Protokollnachricht einfügen, welche einem Administrator nicht korrekt angezeigt wird, da diese nicht ordnungsgemäß behandelt wird.

Security Scanner beginnen mit der Übermittlung eines eindeutigen ‘sicher’ Werts. Anschließend wird die gesamte Anwendung nach den Positionen dieses Werts durchsucht. Dann werden, auf die gleiche Weise wie bei der “reflektierten” Version, eine Reihe von Angriffen durchgeführt, die in diesem Fall jedoch alle Zielpositionen auf anderen Seiten überprüft.

Hinweise:

Mit dieser Regel werden nur HTTP-PUT-Anfragen mit einem LOW-Threshold durchsucht.
Wenn sich eine XSS-Injektion in einer JSON-Antwort befindet, wird ein LOW-Risiko- und LOW-Vertrauensalarm ausgelöst.

Lösung

Verwenden Sie eine überprüfte Bibliothek oder ein Framework, welches diese Schwächen nicht auftreten lässt oder Konstrukte enthält durch die diese Schwächen leichter zu vermeiden sind. Beispiele für solche Bibliotheken oder Frameworks wären die Anti-XSS-Bibliothek von Microsoft, das OWASP ESAPI Encoding-Modul oder Apache Wicket.