Cross-Site Scripting (XSS) ist eine Art von SicherheitslĂŒcke, die es einem Angreifer ermöglicht, bösartigen Code in eine Webseite einzuschleusen, die von anderen Nutzern aufgerufen wird. Wenn ein Nutzer die infizierte Webseite aufruft, wird der eingeschleuste Code vom Webbrowser des Nutzers ausgefĂŒhrt und ermöglicht es dem Angreifer, sensible Informationen wie Anmeldedaten zu stehlen oder andere böswillige Aktionen im Namen des Nutzers durchzufĂŒhren.
Es gibt zwei Arten von XSS-Angriffen:
- Reflektiertes XSS: Bei dieser Art von Angriff wird der bösartige Code in eine Anfrage an den Webserver eingefĂŒgt und dann in der Antwort des Servers an den Nutzer zurĂŒckgesendet. Ein Angreifer könnte z. B. eine URL mit bösartigem Code erstellen und den Link dann per E-Mail oder ĂŒber soziale Medien an ein Opfer senden. Wenn das Opfer auf den Link klickt, wird der Code vom Browser des Opfers ausgefĂŒhrt.
- Stored XSS: Bei dieser Art von Angriff wird der bösartige Code auf dem Webserver gespeichert und den Nutzern zur VerfĂŒgung gestellt, wenn sie eine bestimmte Seite oder Funktion aufrufen. Ein Angreifer könnte z. B. eine Nachricht in einem Forum posten, die bösartigen Code enthĂ€lt, und dann darauf warten, dass andere Nutzer die Nachricht sehen und der Code in ihren Browsern ausgefĂŒhrt wird.
XSS-Angriffe können durch MaĂnahmen wie die Validierung und Bereinigung von Eingaben und den Einsatz von Technologien wie Content Security Policy (CSP) entschĂ€rft werden, um die Arten von Ressourcen zu begrenzen, die eine Webseite laden und ausfĂŒhren darf.