Cross-Site Scripting | XSS

08.04.2009 | Redakteur: Gerald Viola

Cross-Site Scripting (XSS) ist ein Angriff auf die Sicherheit, bei dem der Angreifer Schadcode in einen Link einschleust, der oberflächlich betrachtet von einer vertrauenswürdigen Quelle zu stammen scheint. Wenn ein User auf den Link klickt, wird die eingebettete Programmierung als Teil der Web-Anforderung durch den Client übertragen und kann auf dem Computer des Users ausgeführt werden, wobei der Angreifer dann typischerweise Informationen stehlen kann.

Web-Formulare, die eine Fehlermeldung einschließlich der Benutzereingabe zurückliefern, können einem Angreifer eine Lücke bieten, den HTML-Code zu ändern, der das Verhalten des Formulars bzw. der Sites steuert. Dazu nutzen die Angreifer verschiedene Möglichkeiten; beispielsweise fügen sie Code in einen Link ein, der in einer Nachricht in einem Forum veröffentlicht oder in einer Spam-Nachricht übertragen wird. Der Angreifer kann E-Mail-Fälschungen verwenden, um sich als vertrauenswürdige Quelle auszugeben.

Wie andere Web-basierte Exploits, beispielsweise SQL-Injection, wird die Schuld für Cross-Site Scripting teilweise auf die unsicheren Anwendungen geschoben, die diesen Angriff erst möglich machen. Webserver-Anwendungen, die Seiten dynamisch erzeugen, sind für einen Cross-Site Scripting-Angriff anfällig, wenn sie die Benutzereingaben nicht überprüfen und nicht sicherstellen, dass die erzeugten Seiten richtig kodiert sind. Eine Schwachstelle, die Cross-Site Scripting ermöglicht wird auch XSS-Lücke genannt.

Zum Schutz gegen Cross-Site Scripting-Angriffe empfehlen Experten, dass Web-Anwendungen entsprechende Sicherheitsmechanismen besitzen und dass Server alle Eingaben routinemäßig auf Gültigkeit überprüfen sollten.


Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2020862)