Cross-Site Scripting (XSS) – So können Sie sich schützen

Mit XSS können Angreifer eine Web-Anwendung einfach kompromittieren und von innen heraus beschädigen. Wir klären auf, was Cross-Site Scripting ist und wie es sich am effektivsten vermeiden lässt. [...]

XSS-Angriffe verhindern (c) Pixabay
XSS-Angriffe verhindern (c) Pixabay

Am 4. Oktober 2005 dämmert es kalt und klar. Übernächtigte Myspace-Nutzer erwachen aus ihrem Schlaf, um sich sogleich in die zu dieser Zeit weltgrößte Social Media Plattform einzuloggen und neue Freunde zu finden. Menschen wie Samy Kamkar. Samy war so verbissen auf der Suche nach neuen Freunden, dass er Cross-Site Scripting (XSS) einsetzte, um sein MySpace-Profil zu diesem Zweck auszunutzen. Der von ihm verwendete JavaScript – heute noch liebevoll „Samy Worm“ genannt – fügte damals automatisch jeden seiner Myspace-Profil-Besucher zu seiner Freundesliste hinzu und sendete den Betroffenen eine Popup-Nachricht, die verkündete: „Samy ist mein Held!“. Als Myspace ihm den Stecker zog, hatte er seinem Profil bereits eine Million neue Freunde hinzugefügt. Heute ist Kamkars legendärer Streich ein Sinnbild der Fragilität von Web-Applikationen und der Unfähigkeit, User-Input ordentlich zu bereinigen.

SemperVideo erklärt anschaulich, wie eine XSS-Attacke abläuft.
Was ist eine XSS-Schwachstelle?
Grundsätzlich wird eine XSS-Attacke von einem Angreifer ausgeführt, der einen schädlichen Code in ein Web-Formular oder eine Web-App-URL eingibt, um ein Programm dazu zu bringen, etwas zu tun, das es nicht tun sollte. Nehmen wir an, das Online-Formular einer Web-Anwendung fordert Sie dazu auf...

Um diese Inhalte abzurufen, registrieren Sie sich bitte für den kostenlosen Business Account.

Werbung

Mehr Artikel