Xss Loch

Definition - Was bedeutet XSS-Loch?

Eine XSS-Lücke ist eine Webanwendung, die Benutzern mit einer Sicherheitslücke im Computer dynamische Inhalte zur Verfügung stellt. Diese Anwendung ist Cross-Site Scripting (XSS) und ermöglicht es einem Angreifer, die vertraulichen Daten eines Benutzers auszunutzen, ohne einen Zugriffskontrollmechanismus wie eine Richtlinie mit demselben Ursprung zu übergeben. Dieser Defekt wird geeigneter als XSS-Loch bezeichnet.

Technische.me erklärt XSS Hole

Beispielsweise kann der Benutzer in einer Webanwendung auf einen Hyperlink stoßen, der auf schädlichen Inhalt verweist. Der Benutzer kann auf den Link klicken und zu einer anderen Seite weitergeleitet werden, die Werbung oder E-Mail-Bulletin enthält. Diese Seite sammelt Benutzerinformationen in Form eines Passworts. Außerdem wird eine böswillige Ausgabeseite generiert, die auf eine gefälschte Antwort hinweist, die so zugeschnitten ist, dass sie dem Benutzer als echt erscheint. Entweder können die vom Benutzer eingegebenen Daten missbraucht werden oder die Sitzung des Benutzers kann durch Cookie-Diebstahl entführt werden. Aufgrund der Vertraulichkeit der gesammelten Daten kann Cross-Site-Scripting von einer bloßen Sicherheitslücke bis zu einer schwerwiegenden Sicherheitslücke reichen. Nach dem Ausnutzen der XSS-Sicherheitsanfälligkeit kann der Angreifer die Zugriffssteuerungsrichtlinien der Organisation umgehen.

Das Konzept der standortübergreifenden Skripterstellung basiert auf derselben ursprünglichen Richtlinie. Dieselben ursprünglichen Richtlinien besagen, dass ein Webbrowser, der JavaScript verwendet, ohne Einschränkungen auf verschiedene Eigenschaften und Methoden zugreifen kann, die zu derselben Site gehören. Böswillige Angreifer können das Konzept derselben ursprünglichen Richtlinie ausnutzen, indem sie mithilfe von JavaScript schädlichen Code in eine Website einfügen. Wenn die Webseiten von Benutzern angezeigt werden, sammeln Angreifer möglicherweise nützliche Benutzerinformationen wie einen Benutzernamen oder ein Kennwort.

Laut Statistiken von Symantec aus dem Jahr 2007 macht Cross-Site-Scripting 80 Prozent aller Sicherheitsangriffe aus, die mit Computern ausgeführt werden. Es gibt drei Arten von Cross-Site-Scripting:

  • Nicht beständiges XSS: Die nicht beständige Art der standortübergreifenden Skripterstellung wird bei HTTP-Anforderungen angezeigt, bei denen der Client Daten in eine HTTP-Anforderung einbettet. Wenn der Server vom Client gesendete Daten zum Generieren von Seiten verwendet, können die XSS-Lücken aktiv sein, wenn die Anforderung nicht ordnungsgemäß bereinigt wurde. HTML-Seiten bestehen sowohl aus Inhalten als auch aus Präsentationen. Wenn der böswillige Benutzer Inhalte hinzufügt, die nicht überprüft wurden, erfolgt eine Markup-Injektion. Der Benutzer gefährdet seine Sicherheit, indem er Informationen eingibt, die vom Schadcode angefordert werden. Der Angreifer kann den Benutzer zu einer anderen URL irreführen, die möglicherweise einen komplexeren Virus enthält und wichtige Benutzerinformationen abruft.
  • Persistentes XSS: Der vom Angreifer injizierte schädliche Inhalt wird auf der Serverseite gespeichert, und alle weiteren Clientanforderungen greifen auf den geänderten Inhalt zu, wodurch ein ernstes Sicherheitsrisiko besteht. In einigen Foren kann der Benutzer beispielsweise HTML-formatierte Nachrichten veröffentlichen. Daher kann ein Angreifer einen JavaScript-Code einbetten, um ein schädliches Textfeld zum Sammeln von Informationen wie einem Kennwort anzuzeigen. Der Angreifer kann den JavaScript-Code auch so konfigurieren, dass jedes im Textfeld eingegebene Kennwort gespeichert und übertragen wird.
  • DOM-basiertes XSS: Das Dokumentobjektmodell (DOM) ist eine Baumstruktur, die alle Tags darstellt, die in einem Dokument angezeigt werden, das den XML-Standards entspricht. DOM wird in JavaScript verwendet, um auf HTML-Tags und den Inhalt der Tags zuzugreifen und diese zu bearbeiten. Ein Angreifer kann einen böswilligen Teil des JavaScript-Codes einfügen, der entsprechende DOM-Anweisungen enthält, um auf wichtige Benutzerinformationen zuzugreifen und diese zu ändern. Beispielsweise kann der Angreifer DOM verwenden, um die Benutzerinformationen durch eine nicht ordnungsgemäße Übermittlung an eine schädliche Website eines Drittanbieters umzuleiten.