Was ist XSS (Cross-Site Scripting)?

Cross Site Scripting (XSS) ist die am häufigsten genutzten Angriffsmethode im Internet. Die Methode nutzt Sicherheitslücken in Webanwendungen oder Serveranwendungen und ermöglicht, schädlichen Code einzuschleusen. XSS-Angriffe können genutzt werden, um Benutzersitzungen zu übernehmen, persönliche Daten zu stehlen oder Nutzer auf schädliche Websites umzuleiten.

Es gibt verschiedene Arten von XSS Angriffen:

Persistent XSS

Dies ist eine der gefährlichsten Arten von Cross-Site Scripting. Bei persistentem XSS wird der schädliche Code in die Datenbank einer Webseite eingefügt, beispielsweise durch einen Kommentar in einem Blog oder einen Eintrag in einem Benutzerprofil. Der Code wird dann dauerhaft auf dem Server gespeichert und bei jedem Laden der betroffenen Seite für jeden Nutzer ausgeführt. Da der Code direkt von einem vertrauenswürdigen Server kommt, ist es für Nutzer schwieriger, den Angriff zu erkennen. Gespeichertes XSS kann genutzt werden, um umfangreiche Angriffe durchzuführen, einschließlich Datendiebstahl und Session-Hijacking.

Non-Persistent XSS

Bei non-persistent-XSS wird der schädliche Script-Code nicht dauerhaft auf dem Server gespeichert, sondern als Teil einer URL oder Anfrage an den Server gesendet und sofort in der Antwortseite reflektiert. Dieser Typ von XSS-Angriff erfolgt meist durch manipulierte URLs oder betrügerische E-Mails (Phishing), die den Nutzer dazu bringen, auf einen speziell präparierten Link zu klicken. Der schädliche Code wird dann im Kontext der Webseite des Opfers ausgeführt, was beispielsweise zum Diebstahl von Cookies oder anderen sensiblen Informationen führen kann.

Lokales bzw. Dom-basiertes XSS

Hierbei handelt es sich um eine Form von XSS, bei der die Angriffe innerhalb des DOM (Document Object Model) der Webseite stattfinden. Der schädliche Code wird in der Regel durch Manipulation der DOM-Struktur mit clientseitigen Skripten wie JavaScript eingeführt. Im Gegensatz zu gespeichertem und reflektiertem XSS, die serverseitig erfolgen, findet DOM-basiertes XSS vollständig auf der Clientseite statt. Das bedeutet, dass der schädliche Code nicht an den Server gesendet wird, sondern durch Änderungen im DOM der Seite, beispielsweise über manipulierte URL-Parameter, aktiviert wird.

Prävention

Zur Vermeidung von XSS-Angriffen ist es wichtig, dass Softwaresysteme Nutzereingaben validieren und bereinigen. Sicherheitsmaßnahmen umfassen die Verwendung von HTTP-Headern wie Content Security Policy und die Implementierung von Escaping-Techniken, sodass Schadcode vor der Ausführung geprüft und bereinigt wird.