Persistent XSS (Attack)

Was ist Persistent XSS (Attack)?

Bei Persistent XSS (Attack) speichert die Anwendung in einer Datenbank, einem Forum oder Besucherprotokoll oder einem anderem vertrauenswürdigem Datenspeicher gefährliche Daten. Diese Daten werden zu einem späteren Zeitpunkt in die Anwendung zurückgelesen und in dynamische Inhalte aufgenommen.

Beschreibung

Für einen Angreifer sind Bereiche die entweder viele Benutzer oder besonders interessante Nutzer anzeigen besonders interessant für das Platzieren von schädlichen Inhalten. Interessante Nutzer verfügen in der Regel über besondere bzw. erhöhte Rechte innerhalb der Anwendung oder interagieren mit vertraulichen Daten. Sollte einer diese Nutzer die implementierten schädlichen Inhalte ausführen, so kann der Angreifer womöglich privilegierte Vorgänge für den Benutzer ausführen oder auf vertrauliche Daten des Benutzers zugreifen. Der Angreifer kann zum Beispiel XSS in eine Protokollnachricht einfügen, welche einem Administrator nicht korrekt angezeigt wird, da diese nicht ordnungsgemäß behandelt wird.

Security Scanner beginnen mit der Übermittlung eines eindeutigen ‘sicher’ Werts. Anschließend wird die gesamte Anwendung nach den Positionen dieses Werts durchsucht. Dann werden, auf die gleiche Weise wie bei der “reflektierten” Version, eine Reihe von Angriffen durchgeführt, die in diesem Fall jedoch alle Zielpositionen auf anderen Seiten überprüft.

Hinweise:

Mit dieser Regel werden nur HTTP-PUT-Anfragen mit einem LOW-Threshold durchsucht.
Wenn sich eine XSS-Injektion in einer JSON-Antwort befindet, wird ein LOW-Risiko- und LOW-Vertrauensalarm ausgelöst.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Verwenden Sie eine überprüfte Bibliothek oder ein Framework, welches diese Schwächen nicht auftreten lässt oder Konstrukte enthält durch die diese Schwächen leichter zu vermeiden sind. Beispiele für solche Bibliotheken oder Frameworks wären die Anti-XSS-Bibliothek von Microsoft, das OWASP ESAPI Encoding-Modul oder Apache Wicket.

Weitere Informationen

https://cwe.mitre.org/data/definitions/79.html

 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte