Cross-Site Scripting (XSS) is een injectieaanval waarbij kwaadaardige scripts worden geïnjecteerd in websites die verder betrouwbaar en onschuldig lijken. Wanneer een aanvaller kwaadaardige code, meestal in de vorm van een script dat in de browser wordt uitgevoerd, via een webapplicatie naar een andere gebruiker stuurt, spreken we van een XSS-aanval. Webapplicaties die gebruikersinvoer niet valideren of versleutelen, zijn kwetsbaar voor deze aanvallen vanwege de vele kwetsbaarheden die erin voorkomen.
Een kwaadaardig script kan via XSS naar een nietsvermoedende gebruiker worden gestuurd om toegang te krijgen tot diens gegevens. In het geval van een onbetrouwbare bron kan de browser van de gebruiker dit echter niet herkennen en voert het script toch uit. In feite kan het kwaadaardige script toegang krijgen tot cookies, sessietokens of andere gevoelige informatie die de browser kan verkrijgen omdat deze denkt dat de bron betrouwbaar is.
Hebben gebruikers dan niet te maken met cross-site scripting?
JavaScript te injecteren , waardoor de beveiliging van kwetsbare websites, webapplicaties en hun gebruikers in gevaar komt. Net als bij andere beveiligingslekken, zoals XSS, is dit niet het probleem van de gebruiker. Met andere woorden: als het uw gebruikers treft, treft het ook u.
Soms wordt cross-site scripting gebruikt om een website te beschadigen in plaats van een gebruiker direct aan te vallen, bijvoorbeeld wanneer de aanvaller de website van binnenuit wil saboteren. Door scripts in een website te injecteren, kan een aanvaller de inhoud van de website wijzigen of zelfs de browser doorverwijzen naar een andere webpagina, bijvoorbeeld een pagina die besmet is met kwaadaardige code, om de website-inhoud aan te passen.
Hoe werkt cross-site scripting?
Een aanvaller moet allereerst een manier vinden om kwaadaardige code (payload) in de URL van een webpagina te injecteren die het slachtoffer bezoekt, zodat de kwaadaardige JavaScript-code in de browser van het slachtoffer kan worden uitgevoerd. Vervolgens moet het slachtoffer de website bezoeken waarop de kwaadaardige code staat om deze uit te voeren. Een aanvaller kan social engineering of phishing gebruiken om een kwaadaardige URL naar een specifiek slachtoffer te sturen, mits de aanvaller een bepaald doelwit op het oog heeft.
De kwetsbare website moet in staat zijn om gebruikersinvoer direct in de pagina's te verwerken, wil de eerste stap mogelijk zijn. Een aanvaller zou dan een kwaadaardige tekenreeks in een webpagina kunnen invoegen, die door de browser van het slachtoffer als broncode wordt geïnterpreteerd wanneer deze de pagina bekijkt.
Wat voor soorten XSS-aanvallen bestaan er?
XSS-aanvallen kunnen in drie hoofdcategorieën worden ingedeeld. Hieronder volgen enkele voorbeelden:
- Reflected XSS : Dit is een vorm van XSS waarbij het kwaadaardige script afkomstig is van het huidige HTTP-verzoek.
- Stored XSS : Een stored XSS-aanval waarbij het kwaadaardige script zich in de database van een website bevindt.
- DOM-gebaseerde XSS : Een XSS-aanval die gebaseerd is op DOM-gegevens, waarbij de kwetsbaarheid zich aan de clientzijde bevindt in plaats van aan de serverzijde, staat bekend als DOM-gebaseerde XSS.
Hoe voorkom je XSS?
Zorg ervoor dat uw invoer is opgeschoond om XSS-aanvallen te voorkomen. Zorg er bijvoorbeeld voor dat u gegevens die u van de browser ontvangt niet rechtstreeks doorstuurt naar uw applicatiecode zonder deze eerst op fouten te controleren. Op de website van Seahawk Media worden meer van dergelijke onderwerpen besproken die mogelijk interessant zijn.
