Glossar

Cross-Site-Scripting

Das Coss-Site-Scripting, auch kurz als XSS bezeichnet, stellt eine Form der Verteilung von Schadcode über Websites dar. Dabei werden Sicherheitslücken in Webanwendungen ausgenutzt, indem schädliche Codesequenzen in einen vertrauenswürdigen Kontext eingebunden werden. Die Entstehung des Begriffs Cross-Site-Scripting resultiert aus der Tatsache, dass die weitaus häufigsten Attacken dieser Art mithilfe der Scriptsprache JavaScript ausgeführt werden. Ziel der Angriffe über das Cross-Site-Scripting ist in aller Regel das Ausspionieren von Nutzerdaten.

Wie funktioniert das Cross-Site-Scripting?

Beim Cross-Site-Scripting handelt es sich um eine Unterform der HTML Injection. In den meisten Fällen wird das auf dem Server arbeitende Script infiziert, das für die Erzeugung dynamischer Inhalte einer Website zuständig ist. Dynamische Inhalte binden die Experten für Webdesign beispielsweise durch das Angebot von interaktiven Kontaktformularen und Bestellformularen ein. Damit können Sessions von angemeldeten Nutzern übernommen werden. Außerdem wird das Cross-Site-Scripting für gezielte Defacements von Websites verwendet. Besitzt der vom Nutzer verwendete Browser besondere Rechte, kann der Schadcode auf dem Rechner des Clients unbemerkt ausgeführt werden. Das ist in der Regel dann der Fall, wenn sich der Nutzer beim Hochfahren des Betriebssystems mit Administratorrechten angemeldet hat.

Wie werden Schädlinge mit dem Cross-Site-Spripting verteilt?

Bevorzugte Verteilungspunkte beim Cross-Site-Scripting sind Foren und die Kommentare, die auf Blogsites hinterlassen werden können. Dort wird die Tatsache ausgenutzt, dass viele Webite-Betreiber die Veröffentlichung aktiver Backlinks zulassen, die dann ihrerseits auf speziell präparierte Websites führen. Dabei ist es von den Urhebern des Schadcodes jedoch nicht möglich, gezielt einzelne Nutzer anzugreifen. Anders verhält es sich mit dem Cross-Site-Scripting, bei dem die Verteilung der Backlinks über Mails erfolgt. Außerdem sind einige Mailprogramme in der Lage, in Kooperation mit dem Browser Scriptcode zu interpretieren. Dadurch kann der Schadcode ohne Umweg über ein präpariertes HTML-Dokument als Mailinhalt verteilt werden.

Welche Angriffsarten gibt es beim Cross-Site-Scripting?

Von einem reflektierten oder nicht-persistenten Angriff mit Cross-Site-Scripting wird dann gesprochen, wenn der Schadcode nur temporär im direkten Zusammenhang mit den Interaktionen mit einer bestimmten Website wirksam wird. Nach dem Schließen des Tabs oder des gesamten Browsers und einem danach erfolgenden neuen Aufruf der Website ist der Schadcode beim reflektierten Cross-Site-Scripting nicht mehr aktiv. Das unterscheidet ihn vom persistenten Cross-Site-Scripting, bei dem der Angriff auf den Code erfolgt, der auf dem Server hinterlegt ist. Das führt dazu, dass der Schadcode bei jedem Aufruf einer Website wieder mit ausgeliefert wird. Möglich ist das überall dort, wo die eingegebenen Nutzerdaten auf dem Server gespeichert werden. Beim DOM-basierten Cross-Site-Scripting ist die Interaktion mit einer Webanwendung nicht notwendig. Das wiederum bedeutet, dass auch statische Websites angegriffen werden können, wenn im Quellcode JavaScript mit enthalten ist.

Welcher Schutz ist gegen das Cross-Site-Scripting möglich?

Bei der Prävention gegen Cross-Site-Scripting müssen professionelle Webdesigner und Programmierer darauf achten, dass von der verwendeten Programmierung sämtliche vom Nutzer übertragenen Werte als unsicher eingestuft und vor der Verarbeitung genauer geprüft werden. Statt der Arbeit mit einer Blacklist zur Definition von Code mit Gefahrenpotential arbeiten Fachleute bei der Blockierung von Cross-Site-Scripting mit einer Whitelist, in der die zulässigen Eingaben definiert werden. Ebenfalls als Schutz gegen Croos-Site-Scripting sind die Umwandlung von Metazeichen im HTML-Format in Zeichenreferenzen sowie die Maskierung von Zeichen sehr weit verbreitet. Auf Clientseite wird als Schutzmaßnahme das Deaktivieren der Unterstützung für die Ausführung von JavaScript im Browser empfohlen.


Interessiert? Erfahren Sie mehr zum Thema "Cross-Site-Scripting" - kontaktieren Sie uns jetzt

We create for You

Unter der Überschrift „Kreation“ vereinen wir die 4 Kernkompetenzen von baseplus®: Das Design, die Entwicklung, das Online Marketing und Print, in der jeweils anmutenden Farbe. Das konsequente Color-Coding dient der optimierten Benutzerführung, die Claims kommunizieren jeden Bereich zusätzlich.

Klicken Sie hier, um zu sehen was wir meinen