Cross Site Scripting (XSS) – Wissen Sie, was es ist und welche Arten es gibt

Die digitale Welt hat der Existenz mehrerer Bedrohungen Türen geöffnet. In diesem Bereich hört man selten von Computerangriffen, die sich gegen Personen, Unternehmen und Dienste richten.

Die Angriffe zielen darauf ab, Schwachstellen auszunutzen, eine der bekanntesten ist Cross Site Scripting (XSS). Wissen Sie, was es ist.


Cross-Site Scripting (XSS)-Angriffe bestehen darin, Code (oder bösartige Skripte) in Websites einzuschleusen. XSS-Angriffe treten auf, wenn ein Angreifer in der Lage ist, bösartigen Code, normalerweise in Form eines browserseitigen Skripts, an ein entferntes System zu senden.

Durch ein XSS injiziert der Angreifer beispielsweise JavaScript-Code in ein Textfeld einer bestehenden Seite und dieses JavaScript wird anderen Benutzern präsentiert, da es auf der Seite verbleibt.

Tipps für Cross-Site-Scripting (XSS)

XSS-Angriffe können in drei Kategorien eingeteilt werden:

  • Hartnäckig: Das vom Angreifer eingeschleuste Skript wird permanent auf dem Zielserver gehostet. Das bedeutet, dass jeder Benutzer ohne besondere Aktion bösartigen Code ausführen kann. Dies ist eine sehr gefährliche Art von XSS-Angriff, da der Code in einem einfachen Kommentarfeld, in einer Datenbank usw. gehostet werden kann.
  • Nicht persistent/reflektiert: In diesem Fall wird das Skript nicht auf einem Zielserver gehostet und muss daher das Opfer erreichen. Dies kann beispielsweise durch Social Engineering geschehen. Ein häufiger Weg ist über einen Link, der durch Phishing-Betrug per E-Mail verbreitet wird. Beim Anklicken des Skripts wird der Schadcode im Browser ausgeführt. Diese Technik ist die gebräuchlichste.
  • DOM-basiert: Die dritte Art von XSS-Angriff nutzt das Document Object Model (DOM), die Schnittstelle, die das Lesen von HTML und XML im Browser definiert. Das Skript ist in der Lage, die Eigenschaften von Anwendungen, die diese Art von Erweiterungen ausführen, direkt im Browser zu ändern, ohne mit dem Server interagieren zu müssen, um einen Angriff auszuführen. In diesem Fall liegt der Fehler in der Validierung des HTML- oder XML-Codes im Browser.

Die Möglichkeit, dass Angriffe mit XSS-Schwachstellen durchgeführt werden können, besteht darin, dass Datenvalidierungen (z. B. in Formularen) in der Regel schlecht durchgeführt werden.

Auf der Website steht ein kostenloser XSS-Präventionsleitfaden zur Verfügung. OWASP erhältlich hier. Jeder, der Spaß haben und gleichzeitig lernen möchte, kann spielen es ist Google-Spiel.


Source: Pplware by pplware.sapo.pt.

*The article has been translated based on the content of Pplware by pplware.sapo.pt. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!