Cross Site Scripting (XSS)

Mit Cross-Site-Scripting (Webseitenübergreifendes Skripten, kurz XSS) wird eine Methode zur Einschleusung von Schadcode in Webplattformen bezeichnet. Dabei werden Sicherheitslücken von Webanwendungen ausgenutzt, um Webseiten mit clientseitigen Skripten (z. B. in JavaScript) zu infizieren.

Sobald die betroffene Seite von Nutzern aufgerufen wird, erfolgt die Aktivierung des Skripts im Webbrowser. Dadurch können Angreifer Daten sammeln, die zwischen Nutzern und der Webplattform ausgetauscht werden. Der eingeschleuste Code kann ein Formular generieren, um den Nutzer zur Eingabe von vertraulichen Informationen zu bewegen. Denkbar ist auch eine Umleitung auf eine manipulierte Website, die möglicherweise genauso aussieht, wie die erwartete Internetpräsenz. Dort kann der Angreifer ebenso versuchen, an Informationen zu gelangen. Man unterscheidet zwischen dem reflektiven, persistenten und lokalen XSS. Bei der ersten Variante wird die Benutzereingabe direkt vom Server zurückgeschickt. Beim persistenten XSS wird der Schadcode auf dem Webserver gespeichert und bei jeder Anfrage ausgegeben. Beim lokalen XSS ist der Server nicht beteiligt. Der Schadcode wird unmittelbar an ein clientseitiges Script übermittelt. Website-Besuchern bieten Antivirenprogramme Schutz. Betreiber sollten Webapplikationen regelmäßig aktualisieren.

Weitere Informationen

  • Kategorie: Glossar
  • Thema: Cyber Security