Persistent XSS (Attack)

Was ist Persistent XSS (Attack)?

Bei Persistent XSS (Attack) speichert die Anwendung in einer Datenbank, einem Forum oder Besucherprotokoll oder einem anderem vertrauenswĂŒrdigem Datenspeicher gefĂ€hrliche Daten. Diese Daten werden zu einem spĂ€teren Zeitpunkt in die Anwendung zurĂŒckgelesen und in dynamische Inhalte aufgenommen.

Beschreibung

FĂŒr einen Angreifer sind Bereiche die entweder viele Benutzer oder besonders interessante Nutzer anzeigen besonders interessant fĂŒr das Platzieren von schĂ€dlichen Inhalten. Interessante Nutzer verfĂŒgen in der Regel ĂŒber besondere bzw. erhöhte Rechte innerhalb der Anwendung oder interagieren mit vertraulichen Daten. Sollte einer diese Nutzer die implementierten schĂ€dlichen Inhalte ausfĂŒhren, so kann der Angreifer womöglich privilegierte VorgĂ€nge fĂŒr den Benutzer ausfĂŒhren oder auf vertrauliche Daten des Benutzers zugreifen. Der Angreifer kann zum Beispiel XSS in eine Protokollnachricht einfĂŒgen, welche einem Administrator nicht korrekt angezeigt wird, da diese nicht ordnungsgemĂ€ĂŸ behandelt wird.

Security Scanner beginnen mit der Übermittlung eines eindeutigen ‘sicher’ Werts. Anschließend wird die gesamte Anwendung nach den Positionen dieses Werts durchsucht. Dann werden, auf die gleiche Weise wie bei der “reflektierten” Version, eine Reihe von Angriffen durchgefĂŒhrt, die in diesem Fall jedoch alle Zielpositionen auf anderen Seiten ĂŒberprĂŒft.

Hinweise:

Mit dieser Regel werden nur HTTP-PUT-Anfragen mit einem LOW-Threshold durchsucht.
Wenn sich eine XSS-Injektion in einer JSON-Antwort befindet, wird ein LOW-Risiko- und LOW-Vertrauensalarm ausgelöst.

Tipp

ÜberprĂŒfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Verwenden Sie eine ĂŒberprĂŒfte Bibliothek oder ein Framework, welches diese SchwĂ€chen nicht auftreten lĂ€sst oder Konstrukte enthĂ€lt durch die diese SchwĂ€chen leichter zu vermeiden sind. Beispiele fĂŒr solche Bibliotheken oder Frameworks wĂ€ren die Anti-XSS-Bibliothek von Microsoft, das OWASP ESAPI Encoding-Modul oder Apache Wicket.

Weitere Informationen

Weitere Informationen bezĂŒglich des Themas finden Sie hier im Link.

 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte