X wie XSS

In unserem Azubi-Blog erklären wir jede Woche einen Begriff aus dem ABC der IT-Security. Heute: X wie XSS

XSS bedeutet Cross Site Scripting. Nur was genau ist Cross Site Scripting? Mit dem Cross Site Scripting wird das Ausnutzen von Sicherheitslücken in Webanwendungen bezeichnet. Schädliche Skripte werden dabei in einen vertrauenswürdigen Kontext eingespeist, aus dem heraus sie das System der Nutzer angreifen können. Skripte sind Programme, die mit Skriptsprachen wie JavaScript hauptsächlich als Quelltextdatei programmiert werden. Im schlimmsten Fall können Angreifer mithilfe solcher Skripte Zugriff auf vertrauliche Information erlangen oder Zugriff auf die Daten des Computers.  

Welche Arten von XSS-Angriffen gibt es? 

Reflektiertes XSS: Über das Aufrufen eines manipulierten Links oder das Absenden eines gefälschten Formulars wird das schädliche Skript an den Webserver gesendet, der es ohne Überprüfung wieder an den Client zurückgibt. Der enthaltene Schadcode wird nur ausgelöst, wenn der Benutzer den erhaltenen Link aufruft. Tut er dies, wird ihm ein imitierter Anmeldebildschirm seines Online-Bankings präsentiert. Anstatt die eingegebenen Daten an den Webserver der Bank zu senden, sorgt das Skript jedoch für eine Umleitung auf die Adresse, die der Angreifer zuvor bestimmt hat. 

Persistentes XSS: Beim persistenten bzw. beständigen XSS werden die schädlichen Skripte auf dem Webserver gespeichert und bei jedem Aufruf durch einen Client ausgeliefert. Zu diesem Zweck werden solche Webanwendungen für den Angriff ausgewählt, die Benutzerdaten serverseitig speichern und anschließend ohne Überprüfung oder Codierung ausgeben. Besonders anfällig für diese Scripting-Art sind Blogs und Foren. 

Dom-basiertes XSS: Diese Angriffsart wird auch lokales XSS genannt. Über das Aufrufen eines manipulierten Links wird der Schadcode durch eine Lücke in einem clientseitigen Skript ohne Überprüfung ausgeführt. Im Gegensatz zu persistentem und reflektiertem XSS ist der Webserver nicht an dem Prozess beteiligt. Entsprechend sind auch statische Websites, welche die jeweilige Skript-Sprache unterstützen, durch diese Scripting-Variante gefährdet. 

Kann man sich gegen Cross Site Scripting schützen?  

Ja man kann sich dagegen schützen indem man dem Browser verbietet, Skripte wie JavaScript auszuführen. Zudem sind Addons für Browser erhältlich, die die Ausführung von Skripten unterbinden. Grundsätzlich ist es wichtig, per E-Mail empfangene Links kritisch zu prüfen und nicht beliebig aufzurufen.