Persistent XSS (Attack)

Was ist Persistent XSS (Attack)?

Bei Persistent XSS (Attack) speichert die Anwendung in einer Datenbank, einem Forum oder Besucherprotokoll oder einem anderem vertrauensw├╝rdigem Datenspeicher gef├Ąhrliche Daten. Diese Daten werden zu einem sp├Ąteren Zeitpunkt in die Anwendung zur├╝ckgelesen und in dynamische Inhalte aufgenommen.

Beschreibung

F├╝r einen Angreifer sind Bereiche┬ádie entweder viele Benutzer oder besonders interessante Nutzer anzeigen besonders interessant f├╝r das Platzieren von sch├Ądlichen Inhalten. Interessante Nutzer verf├╝gen in der Regel ├╝ber besondere bzw. erh├Âhte Rechte innerhalb der Anwendung oder interagieren mit vertraulichen Daten. Sollte einer diese Nutzer die implementierten sch├Ądlichen Inhalte ausf├╝hren, so kann der Angreifer wom├Âglich privilegierte Vorg├Ąnge f├╝r den Benutzer ausf├╝hren oder auf vertrauliche Daten des Benutzers zugreifen. Der Angreifer kann zum Beispiel XSS in eine Protokollnachricht einf├╝gen, welche einem Administrator nicht korrekt angezeigt wird, da diese nicht ordnungsgem├Ą├č behandelt wird.

Security Scanner beginnen mit der ├ťbermittlung eines eindeutigen ‘sicher’ Werts. Anschlie├čend wird die gesamte Anwendung nach den Positionen dieses Werts durchsucht. Dann werden, auf die gleiche Weise wie bei der “reflektierten” Version, eine Reihe von Angriffen durchgef├╝hrt, die in diesem Fall jedoch alle Zielpositionen auf anderen Seiten ├╝berpr├╝ft.

Hinweise:

Mit dieser Regel werden nur HTTP-PUT-Anfragen mit einem LOW-Threshold durchsucht.
Wenn sich eine XSS-Injektion in einer JSON-Antwort befindet, wird ein LOW-Risiko- und LOW-Vertrauensalarm ausgel├Âst.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Verwenden Sie eine ├╝berpr├╝fte Bibliothek oder ein Framework, welches diese Schw├Ąchen nicht auftreten l├Ąsst oder Konstrukte enth├Ąlt durch die diese Schw├Ąchen leichter zu vermeiden sind. Beispiele f├╝r solche Bibliotheken oder Frameworks w├Ąren die Anti-XSS-Bibliothek von Microsoft, das OWASP ESAPI Encoding-Modul oder Apache Wicket.

Weitere Informationen

Weitere Informationen bez├╝glich des Themas finden Sie hier im Link.

 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte