Cross-Site Scripting | XSS

08.04.2009 | Redakteur: Gerald Viola

Cross-Site Scripting (XSS) ist ein Angriff auf die Sicherheit, bei dem der Angreifer Schadcode in einen Link einschleust, der oberflächlich betrachtet von einer vertrauenswürdigen Quelle zu stammen scheint. Wenn ein User auf den Link klickt, wird die eingebettete Programmierung als Teil der Web-Anforderung durch den Client übertragen und kann auf dem Computer des Users ausgeführt werden, wobei der Angreifer dann typischerweise Informationen stehlen kann.

Web-Formulare, die eine Fehlermeldung einschließlich der Benutzereingabe zurückliefern, können einem Angreifer eine Lücke bieten, den HTML-Code zu ändern, der das Verhalten des Formulars bzw. der Sites steuert. Dazu nutzen die Angreifer verschiedene Möglichkeiten; beispielsweise fügen sie Code in einen Link ein, der in einer Nachricht in einem Forum veröffentlicht oder in einer Spam-Nachricht übertragen wird. Der Angreifer kann E-Mail-Fälschungen verwenden, um sich als vertrauenswürdige Quelle auszugeben.

Wie andere Web-basierte Exploits, beispielsweise SQL-Injection, wird die Schuld für Cross-Site Scripting teilweise auf die unsicheren Anwendungen geschoben, die diesen Angriff erst möglich machen. Webserver-Anwendungen, die Seiten dynamisch erzeugen, sind für einen Cross-Site Scripting-Angriff anfällig, wenn sie die Benutzereingaben nicht überprüfen und nicht sicherstellen, dass die erzeugten Seiten richtig kodiert sind. Eine Schwachstelle, die Cross-Site Scripting ermöglicht wird auch XSS-Lücke genannt.

Zum Schutz gegen Cross-Site Scripting-Angriffe empfehlen Experten, dass Web-Anwendungen entsprechende Sicherheitsmechanismen besitzen und dass Server alle Eingaben routinemäßig auf Gültigkeit überprüfen sollten.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2020862 / Glossar)