Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) ist eine Art von Sicherheitsl√ľcke, die es einem Angreifer erm√∂glicht, b√∂sartigen Code in eine Webseite einzuschleusen, die von anderen Nutzern aufgerufen wird. Wenn ein Nutzer die infizierte Webseite aufruft, wird der eingeschleuste Code vom Webbrowser des Nutzers ausgef√ľhrt und erm√∂glicht es dem Angreifer, sensible Informationen wie Anmeldedaten zu stehlen oder andere b√∂swillige Aktionen im Namen des Nutzers durchzuf√ľhren.

Es gibt zwei Arten von XSS-Angriffen:

  • Reflektiertes XSS: Bei dieser Art von Angriff wird der b√∂sartige Code in eine Anfrage an den Webserver eingef√ľgt und dann in der Antwort des Servers an den Nutzer zur√ľckgesendet. Ein Angreifer k√∂nnte z. B. eine URL mit b√∂sartigem Code erstellen und den Link dann per E-Mail oder √ľber soziale Medien an ein Opfer senden. Wenn das Opfer auf den Link klickt, wird der Code vom Browser des Opfers ausgef√ľhrt.
  • Stored XSS: Bei dieser Art von Angriff wird der b√∂sartige Code auf dem Webserver gespeichert und den Nutzern zur Verf√ľgung gestellt, wenn sie eine bestimmte Seite oder Funktion aufrufen. Ein Angreifer k√∂nnte z. B. eine Nachricht in einem Forum posten, die b√∂sartigen Code enth√§lt, und dann darauf warten, dass andere Nutzer die Nachricht sehen und der Code in ihren Browsern ausgef√ľhrt wird.

XSS-Angriffe k√∂nnen durch Ma√ünahmen wie die Validierung und Bereinigung von Eingaben und den Einsatz von Technologien wie Content Security Policy (CSP) entsch√§rft werden, um die Arten von Ressourcen zu begrenzen, die eine Webseite laden und ausf√ľhren darf.