Cross Site Scripting (xss)

Definition - Was bedeutet Cross Site Scripting (XSS)?

Beim Cross Site Scripting (XSS) wird einer echten Website schädlicher Code hinzugefügt, um Benutzerinformationen mit böswilliger Absicht zu sammeln. XSS-Angriffe sind durch Sicherheitslücken in Webanwendungen möglich und werden häufig durch Einfügen eines clientseitigen Skripts ausgenutzt. Obwohl normalerweise JavaScript verwendet wird, verwenden einige Angreifer auch VBScript, ActiveX oder Flash.

Technische.me erklärt Cross Site Scripting (XSS)

Wenn eine XSS-Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann die Serveranwendung ernsthaften Risiken ausgesetzt sein. Beispielsweise können Benutzer beim Anzeigen dynamisch generierter Seiten dazu verleitet werden, schädliche Skripts auszuführen. Eine andere Möglichkeit besteht darin, dass ein Angreifer eine Benutzersitzung übernimmt, bevor das entsprechende Sitzungscookie abläuft. In einem weiteren Fall können unschuldige Benutzer mit einem böswilligen Server verbunden werden.

In praktisch allen Szenarien wird das System eines Opfers angegriffen, indem die Privilegien des Opfers selbst genutzt werden. Die Angriffe können dann zu Kontoentführungen, Cookie-Diebstahl, falscher Werbung und Änderungen in den Benutzereinstellungen des Kontos des Opfers führen.

Eine Möglichkeit, die Risiken von XSS-Exploits zu verringern, besteht darin, die aktive Skripterstellung in Browsern zu deaktivieren. Leider nimmt dies auch die Fähigkeit eines Browsers zur Ausführung dynamischer Websites und ist für die meisten Benutzer keine realistische Lösung.