DOM-basiertes Cross-Site-Scripting/XSS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „*Über einen gefälschten GET-Parameter in die URL fügt der Hacker JavaScript ein. *Opfer bekommt Link geschickt und klickt Link an. *Angriffsart wird auch l…“) |
|||
| Zeile 1: | Zeile 1: | ||
| − | *Über einen | + | * Angriffsart wird auch lokales XSS genannt, da der Server nicht bösartigen Code ausführt. |
| − | *Opfer bekommt Link geschickt und klickt Link an. | + | * JavaScript Code generiert lokal HTML-Elemente dynamisch (z.B. ''document.write'') |
| − | * | + | * Wenn dieser Code benutzerbasierten Input einliest und nicht richtig bereinigt, kann es schädliche Elemente generieren |
| − | + | * Über einen bösartigen GET-Parameter in die URL kann der Hacker JavaScript Eingabeparameter mitgeben. | |
| − | *Webserver nicht an dem Prozess beteiligt. | + | * Opfer bekommt Link geschickt und klickt Link an. |
| − | + | * HTML-Element wird generiert und vom Browser ausgeführt. | |
| + | * Webserver nicht an dem Prozess beteiligt. | ||
| + | |||
{{#drawio:xss3}} | {{#drawio:xss3}} | ||
Aktuelle Version vom 7. März 2023, 10:46 Uhr
- Angriffsart wird auch lokales XSS genannt, da der Server nicht bösartigen Code ausführt.
- JavaScript Code generiert lokal HTML-Elemente dynamisch (z.B. document.write)
- Wenn dieser Code benutzerbasierten Input einliest und nicht richtig bereinigt, kann es schädliche Elemente generieren
- Über einen bösartigen GET-Parameter in die URL kann der Hacker JavaScript Eingabeparameter mitgeben.
- Opfer bekommt Link geschickt und klickt Link an.
- HTML-Element wird generiert und vom Browser ausgeführt.
- Webserver nicht an dem Prozess beteiligt.
![Bearbeiten](javascript:editDrawio("874003221", "xss3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}