Cross-Site-Scripting (XSS)

Bild von ios 2

Cross-Site Scripting (XSS) ist ein Injektionsangriff, bei dem bösartige Skripte in ansonsten vertrauenswürdige und gutartige Websites eingeschleust werden. Wenn ein Angreifer bösartigen Code, in der Regel in Form eines browserseitigen Skripts, über eine Webanwendung an einen anderen Endbenutzer sendet, spricht man von einem XSS-Angriff. Webanwendungen, die Benutzereingaben nicht validieren oder verschlüsseln, sind anfällig für diese Angriffe, da verschiedene Schwachstellen weit verbreitet sind.

Ein bösartiges Skript kann über XSS an einen ahnungslosen Benutzer gesendet werden, um auf seine Daten zuzugreifen. Wenn es sich jedoch um eine nicht vertrauenswürdige Hand handelt, kann der Browser des Endbenutzers dies nicht erkennen und führt das Skript trotzdem aus. Das bösartige Skript ist in der Lage, auf Cookies, Sitzungs-Tokens oder andere sensible Informationen zuzugreifen, die der Browser erhalten kann, weil er glaubt, dass die Hand von einer vertrauenswürdigen Quelle stammt.

Müssen sich die Nutzer nicht mit Cross-Site-Scripting auseinandersetzen?

XSS-Schwachstellen in Websites oder Anwendungen können es Angreifern ermöglichen, JavaScript in die Browser der Benutzer einzuschleusen und so die Sicherheit von anfälligen Websites, Webanwendungen und deren Benutzern zu gefährden. Genauso wie jede andere Sicherheitslücke, z. B. XSS, nicht das Problem des Benutzers ist. Mit anderen Worten: Wenn Ihre Benutzer betroffen sind, sind auch Sie davon betroffen.

Gelegentlich wird Cross-Site-Scripting verwendet, um eine Website zu verunstalten, anstatt sich direkt an einen Benutzer zu wenden, wenn der Angreifer eine Website von innen heraus beeinträchtigen will. Durch das Einschleusen von Skripten in eine Website kann ein Angreifer den Inhalt der Website verändern oder sogar den Browser auf eine andere Webseite umleiten, die beispielsweise mit bösartigem Code infiziert ist, um den Inhalt der Website zu verändern.

Wie funktioniert Cross-Site Scripting?

Zunächst muss ein Angreifer einen Weg finden, bösartigen Code (Nutzdaten) in die URL einer vom Opfer besuchten Webseite zu injizieren, um bösartigen JavaScript-Code im Browser des Opfers auszuführen. Anschließend muss das Opfer die Website des bösartigen Codes besuchen, um ihn auszuführen. Ein Angreifer kann einen Social-Engineering- oder Phishing-Angriff nutzen, um eine bösartige URL an ein bestimmtes Opfer zu senden, wenn der Angreifer ein bestimmtes Ziel anvisiert.

Die anfällige Website muss in der Lage sein, Benutzereingaben direkt in ihre Seiten zu integrieren, damit Schritt eins möglich ist. Ein Angreifer könnte dann eine bösartige Zeichenfolge in eine Webseite einfügen, die vom Browser des Opfers als Quellcode interpretiert würde, wenn er die Seite sieht. 

Welche Arten von XSS-Angriffen gibt es?

XSS-Angriffe lassen sich in 3 Haupttypen einteilen. Die folgenden sind einige davon:

Wie kann XSS verhindert werden?

Sie sollten sicherstellen, dass Ihre Eingaben bereinigt werden, um XSS-Angriffe zu vermeiden. Stellen Sie zum Beispiel sicher, dass Sie Daten, die Sie vom Browser erhalten, nicht direkt an Ihren Anwendungscode weitergeben, ohne vorher auf Fehler zu prüfen. Auf der Website von Seahawk Media werden weitere Themen dieser Art behandelt, die von Interesse sein könnten.

Verwandte Beiträge

Was-ist-ein-Proxy-Server
Hosting-Glossar
Komal Bothra

Was ist ein Proxy-Server?

Ein Proxy-Server ist ein Computer, der als Vermittler zwischen Ihrem Computer

Addon-Bereich
Hosting-Glossar
Komal Bothra

Addon-Bereich

Eine Addon-Domain ist eine zweite Domain, die Sie zu Ihrem Hosting-Account hinzufügen können.

Domain-Parking
Hosting-Glossar
Komal Bothra

Was ist Domain-Parking?

Domain-Parking ist der Prozess der Registrierung eines Domain-Namens und dessen Weiterleitung an

Komal Bothra 4. Februar 2023

Was ist ein Proxy-Server?

Ein Proxy-Server ist ein Computer, der als Vermittler zwischen Ihrem Computer und

Hosting-Glossar
Komal Bothra 3. Februar 2023

Suchmaschinen-Marketing (SEM) 

Suchmaschinenmarketing (Search Engine Marketing, SEM) ist eine Form des Online-Marketings, bei der bezahlte Werbung eingesetzt wird.

SEO-Glossar
Komal Bothra 2. Februar 2023

Fallstudie: Mabry Technology Solutions

Mabry Tech ist ein Unternehmen, das sich auf die Beratung und Entwicklung innovativer Lösungen für Unternehmen spezialisiert hat. Mabry's

Fallstudie

Erste Schritte mit Seahawk

Melden Sie sich in unserer App an, um unsere Preise einzusehen und Rabatte zu erhalten.