Cross-Site-Scripting (XSS) ist ein Cyberangriff, bei dem Kriminelle schädlichen Code in eine
Webseite oder Anwendung einschleusen. Dies zielt darauf ab, Logindaten und andere sensible
Infos zu stehlen. Wie der XSS-Angriff genau funktioniert, wie du ihn erkennst und dich davor
schützt, erfährst du in diesem Artikel.
Was ist ein XSS (Cross-Site Scripting?
XSS ist ein Cyberangriff, der
Schwachstellen in Webseiten oder Webanwendungen ausnutzt, um gefährliche Skripte in scheinbar
sichere Seiten einzuschleusen. Browser können guten von schlechtem Code nicht unterscheiden,
sodass Besucher diese Skripte ausführen, um ihre Geräte zu infizieren oder Zugangsdaten
preiszugeben.
Wie funktioniert Cross Site Scripting?
Cross-Site-Scripting (XSS) tritt auf, wenn ein Angreifer bösartige Skripte in Webseiten
einschleust, die von anderen Nutzern aufgerufen werden. Das kann passieren, wenn die
Webanwendung die Benutzereingaben nicht richtig überprüft oder bereinigt, sodass der Angreifer
schädlichen Code (meist JavaScript) in die Seite einfügen kann. Wenn andere Nutzer die Seite
besuchen, führen ihre Browser das schädliche Skript aus und ermöglichen es dem Angreifer,{‘ ‘}
Cookies, Sitzungs-Token oder
andere sensible Informationen zu stehlen oder sogar Aktionen im Namen des Nutzers
durchzuführen.
Arten von Cross-Site-Scripting-AngriffenIm Folgenden findest du die Hauptarten von Cross-Site-Scripting-Angriffen.Reflektierte XSS-Angriffe
Die häufigste Art von XSS-Angriffen. Reflektierte XSS-Angriffe (Reflective XSS) passieren,
wenn ein Nutzer eine Anfrage an den Server einer Webseite sendet. Das von einem Hacker
eingeschleuste bösartige Skript wird von diesem Server reflektiert und kann als Fehlermeldung
oder sogar als Suchergebnis auf dem Bildschirm des Opfers erscheinen.
Der unwissende Empfänger der Schadsoftware klickt dann auf eine Schaltfläche oder einen Link
und führt so den schädlichen Code aus. Dies geschieht, weil der Browser des Opfers gerade
vorgetäuscht wurde, dass der oben genannte Code von einem vertrauenswürdigen Server stammt.
Alle Informationen, die auf der kompromittierten Website eingegeben werden, werden an den
Hacker gesendet.
Persistente XSS-Angriffe
Persistente XSS-Angriffe sind auch bekannt als Stored XSS. Diese Attacke passiert, wenn eine
Anwendung oder Webseite Schadcode enthält, der alle ihre HTTP-Antworten infiziert hat.
Die Schadsoftware könnte zum Beispiel im Kommentarfeld einer Webseite gespeichert sein, wo sie
beim Anklicken ausgelöst wird. Die Gefahr bei persistentem XSS besteht darin, dass der
Kriminelle die Falle bereits gestellt hat und ein potenzielles Opfer nicht erst dazu verleiten
muss, einem Link zu folgen. Der{‘ ‘}
Hacker muss nur noch den
Köder auslegen und abwarten.
DOM-basierte XSS-Angriffe
Das Document Object Model (DOM), das erstellt wird, sobald jemand eine Webseite öffnet,
ermöglicht es dem Benutzer, auf alle Inhalte einer Seite zuzugreifen, ohne mit dem Server zu
interagieren. Aus diesem Grund konzentriert sich DOM XSS auf den Browser des Opfers.
Bei Reflective und Persistent XSS sind die Anzeichen der Gefahr im HTML der Response-Seite zu
erkennen. Die Bedrohung bei DOM XSS liegt darin, dass es unmöglich ist, die Schwachstelle zu
erkennen, ohne in den Code der Website einzutauchen. Die meisten Opfer, die keine Tech-Profis
sind, fallen diesem Angriff deshalb zum Opfer.{‘ ‘}
Beispiele für Cross-Site Scripting-AngriffeHier einige bekannte Beispiele für Cross-Site-Scripting-Angriffe:2015: Angreifer nutzen eine eBay-Schwachstelle aus, um vollen Zugriff auf
Verkäuferkonten zu erhalten, Angebote zu manipulieren und Zahlungsdaten zu stehlen.
2018: Hacker veränderten die Webseite von British Airways, um Kundendaten
an einen gefälschten Server zu senden und Kreditkartendaten von 380.000 Transaktionen
abzuschöpfen.
Was sind die Risiken eines XSS-Angriffs?Cross-Site-Scripting (XSS) birgt mehrere Risiken:
Datendiebstahl:
{‘ ‘}
Angreifer können sensible Informationen wie Logins oder andere persönliche Daten stehlen.
Session-Hijacking: XSS kann dazu verwendet werden, Benutzersitzungen zu
kapern, so dass Angreifer sich als legitime Benutzer ausgeben und in deren Namen Aktionen
durchführen können.
Phishing: Über XSS eingeschleuste bösartige Skripte können Nutzer auf{‘ ‘}
Phishing-Seiten umleiten
oder Schadsoftware{‘ ‘}
auf ihre Geräte herunterladen.
Manipulation: XSS kann dazu genutzt werden, den Inhalt von Webseiten zu
manipulieren, was zu unbeabsichtigten Aktionen wie der Änderung von Kontoeinstellungen oder
dem Löschen von Daten führt.
Wie kann man Cross-Site-Scripting-Angriffe verhindern?
Wie man Cross-Site-Scripting-Angriffe verhindern kann, hängt davon ab, ob du ein einfacher
Nutzer bist oder direkt ein Entwickler oder Betreiber einer Webseite. Entsprechend dessen
zeigen wir die Tipps, wie man XSS-Angriffe verhindern kann.
Für Webseiten-Betreiber und Entwickler
Entwickler und Webseitenbetreiber können verschiedene Maßnahmen ergreifen, um
Cross-Site-Scripting (XSS) Angriffe zu verhindern:
Validierung und Bereinigung von Eingaben: Validiere und bereinige alle
Benutzereingaben, einschließlich Formularfelder, URL-Parameter und HTTP-Header, um
sicherzustellen, dass sie nur erwartete Daten enthalten. Verwende Codierungstechniken wie
HTML Entity Encoding oder JavaScript Escaping, um potenziell schädliche Zeichen zu
neutralisieren.
Content Security Policy (CSP): Implementiere CSP-Header, um festzulegen,
welche Inhaltsquellen auf einer Webseite ausgeführt werden dürfen. CSP hilft, XSS-Angriffe
zu verhindern, indem die Ausführung von Skripten, Stylesheets und anderen Ressourcen auf
vertrauenswürdige Quellen beschränkt wird.
Regelmäßige Sicherheitsprüfungen: Führe regelmäßige Sicherheitsprüfungen
und Schwachstellenanalysen von Webanwendungen durch, um XSS-Schwachstellen zu erkennen und
zu beheben. Nutze automatisierte Scan-Tools und manuelle Code-Überprüfungen, um eine
umfassende Abdeckung zu gewährleisten.
Sicherheitsschulung: Entwickler sollten sich über sichere
Programmierpraktiken und häufige Angriffsvektoren wie XSS weiterbilden. Schärfe das
Bewusstsein für die mit XSS verbundenen Risiken und die Bedeutung der Implementierung
geeigneter Sicherheitskontrollen.
Für einzelne Nutzer
Für einzelne Nutzer ist es schwierig, sich vor XSS-Angriffen zu schützen. Wichtig ist zu
wissen, wie man es erkennt und wie man allgemein sicherer online unterwegs sein kann. Hier
sind einige Tipps, was du tun kannst:
Mach es dir zur Gewohnheit, die{‘ ‘}
URLs zu checken – wenn dir etwas
ungewöhnlich vorkommt, dann sei vorsichtig bei allen zukünftigen Aktionen, die du auf dieser
Webseite durchführen kannst.
Wenn du technisch versiert bist, kannst du den Code jeder Webseite, die du öffnest, auf
ungewohnte Skripte überprüfen.
Chrome, Safari, Edge und die meisten{‘ ‘}
sicheren Browser haben
integrierte Sicherheitsfunktionen, die dabei helfen, reflektierte XSS zu erkennen und zu
blockieren. Ältere Browser verfügen möglicherweise nicht über diese Funktion.
Der Bedrohungsschutz{‘ ‘}
von NordVPN bietet eine zusätzliche Schicht digitaler Sicherheit – unsere ständig
aktualisierte Blockliste bösartiger Websites stoppt dich, bevor du eine bekannt gewordene
schädliche Website besuchst.