Cross-Site Scripting: Unterschied zwischen den Versionen

Aus Siwecos
Wechseln zu: Navigation, Suche
Zeile 1: Zeile 1:
Cross-Site Scripting (XXS - dt.: Webseitenübergreifendes Skripting) bezeichnet das Ausnutzen einer Sicherheitslücke in Webanwendungen, in dem unsichere Nutzungsformen als vertrauensvoll dargestellt werden. Ziel ist u. a. Indentitätsdiebstahl, also an sensible Daten des Benutzers zu gelangen, um beispielsweise seine Benutzerkonten zu übernehmen.
+
=== Cross-Site Scripting ===
 +
 
 +
'''Cross-Site Scripting''' (XXS) bedeutet webseitenübergreifendes Skripting (meist JavaScript) und tritt auf, wenn eine Webanwendung Daten eines Nutzers '''ohne Prüfung''' annimmt und diese Daten dann an einen Browser weitersendet. Unter Ausnutzung von Sicherheitslücken in Webanwendungen werden unsichere Nutzungsformen als vertrauensvoll dargestellt. Ziel ist u. a. an sensible Daten des Benutzers zu gelangen, um beispielsweise seine Benutzerkonten zu übernehmen (Identitätsdiebstahl). Dazu werden  Webseiten mit clientseitigen Skripten infiziert, die von Nutzern aufgerufen werden. XSS ist eine Art HTML [[Injection]]. Die Webseite könnte z. B. mit einem Code injiziert sein, der dazu dient, dem Benutzer ein Formular anzuzeigen. Der Nutzer bemerkt nicht, dass das Formular nicht zur Webseite gehört, lässt sich also täuschen und füllt es aus.
 +
 
 +
Auf diese Weise können Hacker Daten abgreifen, die zwischen dem Benutzer und der infizierten Webseite ausgetauscht werden. Je nach Sensibilität der gewonnenen Daten können die Folgen kleinere Ärgernisse oder auch große Sicherheitsrisiken sein. Wenn in einem solchen Formular beispielsweise Authentifizierungsinformationen abgefragt werden, ist das ein großes Sicherheitsrisiko.
 +
 
 +
Über injizierten Code könnte der Benutzer auch auf eine manipulierte Webseite weitergeleitet werden, die von einem Hacker kontrolliert wird. Die manipulierte Seite sieht genauso aus wie die Original-Webseite. Erfolgt darüber ein Login des Benutzers, kann der Angreifer diese Daten sammeln und missbrauchen.
 +
 
 +
 
 +
=== Wie können Sie sich schützen? ===
 +
 
 +
<br />
 +
<center>
 +
{| style="border:4px solid #f95a29; background-color:#eaf3f8; width:70%; cellpadding:10px; text-align:left; margin-right:10px;"
 +
| '''Benutzer:'''
 +
* Durch Ausschalten der JavaScript-Unterstützung im Browser kann man sich gegen clientseitige XSS-Angriffe schützen.
 +
* Für einige Browser gibt es Addons, die mögliche XSS-Angriffe erkennen und verhindern.
 +
|}
 +
</center>
 +
<br />
 +
 
 +
<br />
 +
<center>
 +
{| style="border:4px solid #f95a29; background-color:#eaf3f8; width:70%; cellpadding:10px; text-align:left; margin-right:10px;"
 +
| '''Webseiten-Betreiber:'''
 +
* Für jeden Webseitenbetreiber ist es unumgänglich, alle eingehenden Eingabewerte als unsicher zu betrachten und vor der weiteren Verarbeitung auf der Serverseite zu überprüfen.
 +
|}
 +
</center>
 +
<br />
 +
 
 +
 
 +
=== Weiterführende Links zum Thema XSS ===
 +
 
 +
* Wikipedia: https://de.wikipedia.org/wiki/Cross-Site-Scripting
 +
* Botfrei Blogeinträge: https://blog.botfrei.de/?s=Cross-Site-Scripting
 +
* SemperVideo: https://www.youtube.com/embed/kaklozm4J70 (Videolänge: 18 Minuten)
 +
 
 +
 
 +
 +
 
  
 
[[Category:Glossar]]
 
[[Category:Glossar]]

Version vom 6. Juli 2017, 11:08 Uhr

Cross-Site Scripting

Cross-Site Scripting (XXS) bedeutet webseitenübergreifendes Skripting (meist JavaScript) und tritt auf, wenn eine Webanwendung Daten eines Nutzers ohne Prüfung annimmt und diese Daten dann an einen Browser weitersendet. Unter Ausnutzung von Sicherheitslücken in Webanwendungen werden unsichere Nutzungsformen als vertrauensvoll dargestellt. Ziel ist u. a. an sensible Daten des Benutzers zu gelangen, um beispielsweise seine Benutzerkonten zu übernehmen (Identitätsdiebstahl). Dazu werden Webseiten mit clientseitigen Skripten infiziert, die von Nutzern aufgerufen werden. XSS ist eine Art HTML Injection. Die Webseite könnte z. B. mit einem Code injiziert sein, der dazu dient, dem Benutzer ein Formular anzuzeigen. Der Nutzer bemerkt nicht, dass das Formular nicht zur Webseite gehört, lässt sich also täuschen und füllt es aus.

Auf diese Weise können Hacker Daten abgreifen, die zwischen dem Benutzer und der infizierten Webseite ausgetauscht werden. Je nach Sensibilität der gewonnenen Daten können die Folgen kleinere Ärgernisse oder auch große Sicherheitsrisiken sein. Wenn in einem solchen Formular beispielsweise Authentifizierungsinformationen abgefragt werden, ist das ein großes Sicherheitsrisiko.

Über injizierten Code könnte der Benutzer auch auf eine manipulierte Webseite weitergeleitet werden, die von einem Hacker kontrolliert wird. Die manipulierte Seite sieht genauso aus wie die Original-Webseite. Erfolgt darüber ein Login des Benutzers, kann der Angreifer diese Daten sammeln und missbrauchen.


Wie können Sie sich schützen?


Benutzer:
  • Durch Ausschalten der JavaScript-Unterstützung im Browser kann man sich gegen clientseitige XSS-Angriffe schützen.
  • Für einige Browser gibt es Addons, die mögliche XSS-Angriffe erkennen und verhindern.



Webseiten-Betreiber:
  • Für jeden Webseitenbetreiber ist es unumgänglich, alle eingehenden Eingabewerte als unsicher zu betrachten und vor der weiteren Verarbeitung auf der Serverseite zu überprüfen.



Weiterführende Links zum Thema XSS