Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) ist eine Art von Sicherheitslücke, die es einem Angreifer ermöglicht, bösartigen Code in eine Webseite einzuschleusen, die von anderen Nutzern aufgerufen wird. Wenn ein Nutzer die infizierte Webseite aufruft, wird der eingeschleuste Code vom Webbrowser des Nutzers ausgeführt und ermöglicht es dem Angreifer, sensible Informationen wie Anmeldedaten zu stehlen oder andere böswillige Aktionen im Namen des Nutzers durchzuführen.

Es gibt zwei Arten von XSS-Angriffen:

  • Reflektiertes XSS: Bei dieser Art von Angriff wird der bösartige Code in eine Anfrage an den Webserver eingefügt und dann in der Antwort des Servers an den Nutzer zurückgesendet. Ein Angreifer könnte z. B. eine URL mit bösartigem Code erstellen und den Link dann per E-Mail oder über soziale Medien an ein Opfer senden. Wenn das Opfer auf den Link klickt, wird der Code vom Browser des Opfers ausgeführt.
  • Stored XSS: Bei dieser Art von Angriff wird der bösartige Code auf dem Webserver gespeichert und den Nutzern zur Verfügung gestellt, wenn sie eine bestimmte Seite oder Funktion aufrufen. Ein Angreifer könnte z. B. eine Nachricht in einem Forum posten, die bösartigen Code enthält, und dann darauf warten, dass andere Nutzer die Nachricht sehen und der Code in ihren Browsern ausgeführt wird.

XSS-Angriffe können durch Maßnahmen wie die Validierung und Bereinigung von Eingaben und den Einsatz von Technologien wie Content Security Policy (CSP) entschärft werden, um die Arten von Ressourcen zu begrenzen, die eine Webseite laden und ausführen darf.