Cross Site Scripting (XSS)

Was ist Cross Site Scripting (XSS)?
Cross Site Scripting (XSS) ist der Vorgang des Hinzufügens von bösartigem Code zu einer echten Website, um Benutzerinformationen in böswilliger Absicht zu sammeln. XSS-Angriffe sind durch Sicherheitslücken in Webanwendungen möglich und werden häufig durch das Einführen eines clientseitigen Skripts ausgenutzt. Obwohl normalerweise JavaScript verwendet wird, verwenden einige Angreifer auch VBScript, ActiveX oder Flash.

Wenn eine XSS-Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann die Serveranwendung schwerwiegenden Risiken ausgesetzt sein. Zum Beispiel können Benutzer bei der Anzeige dynamisch erzeugter Seiten dazu gebracht werden, bösartige Skripte auszuführen. Eine andere Möglichkeit besteht darin, dass ein Angreifer eine Benutzersitzung übernimmt, bevor der entsprechende Sitzungscookie abläuft. In einem weiteren Fall können unschuldige Benutzer mit einem bösartigen Server verbunden werden.

In praktisch allen Szenarien wird das System eines Opfers angegriffen, indem die Privilegien des Opfers selbst verwendet werden. Die Angriffe können sich dann zu Kontohijacking, Cookie-Diebstahl, falscher Werbung und Änderungen in den Benutzereinstellungen des Opferkontos entwickeln.

Eine Möglichkeit, die Risiken von XSS-Exploits abzuschwächen, besteht darin, aktives Scripting in Browsern zu deaktivieren. Dies führt leider auch dazu, dass ein Browser keine dynamischen Websites mehr ausführen kann und für die meisten Benutzer keine realistische Lösung darstellt.


War die Erklärung zu "Cross Site Scripting (XSS)" hilfreich? Jetzt bewerten:

Weitere Erklärungen zu