Cross-Site-Scripting Grundlagen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 12: | Zeile 12: | ||
=Es gibt 3 Arten des Cross-Site-Scripting/XSS= | =Es gibt 3 Arten des Cross-Site-Scripting/XSS= | ||
==Reflektiertes Cross-Site-Scripting/XSS== | ==Reflektiertes Cross-Site-Scripting/XSS== | ||
| − | |||
| − | |||
| − | |||
*Schädliches Skript an den Webserver gesendet durch: | *Schädliches Skript an den Webserver gesendet durch: | ||
**Aufruf einer manipulierten URL | **Aufruf einer manipulierten URL | ||
| Zeile 24: | Zeile 21: | ||
*Beliebte Angriffsziele sind dynamische Websites | *Beliebte Angriffsziele sind dynamische Websites | ||
*Diese Form ist eine Client-seitige Implementierung. | *Diese Form ist eine Client-seitige Implementierung. | ||
| + | {{#drawio:xss1}} | ||
==Persistentes Cross-Site-Scripting/XSS== | ==Persistentes Cross-Site-Scripting/XSS== | ||
Version vom 9. August 2021, 10:37 Uhr
XSS/Cross-Site-Scripting
- Ausnutzen von Sicherheitslücken in Webanwendungen
- Schädliche Skripte werden dabei in einen vertrauenswürdigen Kontext eingespeist
- System der Nutzer kann angeriffen werden
- Meist in JavaScript und/oder Quelltextdatei programmiert werden.
- harmlosen Varianten beispielsweise aufpoppende Fenster
- Worst Case - Zugriff auf vertrauliche Informationen
Gefahr
- Gefahr besteht wenn Benutzerdaten ohne Überprüfung an den Webbrowser weiterleitet werden
- Über XSS-Löcher gelangen die schädlichen Skripte zu den betroffenen Clients.
- Dort kommt es zur manipulieren serverseitige Skripte zur Benutzeranmeldung.
Es gibt 3 Arten des Cross-Site-Scripting/XSS
Reflektiertes Cross-Site-Scripting/XSS
- Schädliches Skript an den Webserver gesendet durch:
- Aufruf einer manipulierten URL
- Absenden eines präparierten Formulars wird das
- Angreifer sendet eine Mail zu den Opfern
- Webserver gibt Daten ohne Überprüfung an den Client zurück
- Durch Klick auf den Link startet den Schadcode automatisch
- Schadcode wird nicht auf dem Server gespeichert
- Beliebte Angriffsziele sind dynamische Websites
- Diese Form ist eine Client-seitige Implementierung.
![Bearbeiten](javascript:editDrawio("534090125", "xss1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Persistentes Cross-Site-Scripting/XSS
- Schädlichen Skripte werden auf dem Webserver, in einer Datenbank, gespeichert
- Man muss kein Link generieren und auch nichts an das Opfer verschicken
- Bei jedem Aufruf durch einen Client ausgeliefert.
- Ziele sind Rechner die Benutzerdaten ohne Überprüfung serverseitig speichern
- Anfällig für diese Scripting-Art sind Blogs und Foren.
DOM-basiertes Cross-Site-Scripting/XSS
- Über einen gefälschten GET-Parameter in die URL fügt der Hacker JavaScript ein.
- Opfer bekommt Link geschickt und klickt Link an.
- Angriffsart wird auch lokales XSS genannt.
- Schadcode wird durch eine Lücke in einem clientseitigen Skript ohne Überprüfung ausgeführt.
- Webserver nicht an dem Prozess beteiligt.
- Statische Websites, welche die jeweilige Skript-Sprache unterstützen, sind gefährdet.
Schutzmaßnahmen für Internet-User
- Ausschalten der JavaScript-Unterstützung im Browser.
- Es gibt Add-ons, die Sie vor XSS-Angriffen schützen können.
- Beispiel Mozilla Firefox Erweiterung NoScript.
- Man kann Whitelisten setzen wenn diese sicher sind
Maßnahme der Website-Betreiber gegen XSS-Attacken
- Alle eingehenden Eingabewerte als unsicher betrachten.
- Alle Daten sollten entsprechend geprüft werden.
- Auch hier kann man Whitelisten anlegen
- Man kann Eingaben auf Ihrer Website zu scannen und nur vertrauenswürdige Inhalte zuzulassen,
- Exzellenten Schutz gegen Cross-Site-Scripting.
- Vorgeschaltete Webprotection(z.B. Sophos Webprotection)
- Datenausgabe sollte auch abgesichert werden
- Problematischen HTML-Metazeichen durch Zeichenreferenzen ersetzen
- Metazeichen werden normale Zeichen gewertet
- potenzielle eingeschleuste Skripte können nicht gestartet werden.
- Die meisten Programmiersprachen können dies.