Cross-Site-Scripting Grundlagen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 11: | Zeile 11: | ||
*Dort kommt es zur manipulieren serverseitige Skripte zur Benutzeranmeldung. | *Dort kommt es zur manipulieren serverseitige Skripte zur Benutzeranmeldung. | ||
=Es gibt 3 Arten des Cross-Site-Scripting/XSS= | =Es gibt 3 Arten des Cross-Site-Scripting/XSS= | ||
| − | + | *[[Reflektiertes Cross-Site-Scripting/XSS]] | |
| − | * | + | *[[Persistentes Cross-Site-Scripting/XSS]] |
| − | * | + | *[[DOM-basiertes Cross-Site-Scripting/XSS]] |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
=Schutzmaßnahmen für Internet-User= | =Schutzmaßnahmen für Internet-User= | ||
*Ausschalten der JavaScript-Unterstützung im Browser. | *Ausschalten der JavaScript-Unterstützung im Browser. | ||
| Zeile 45: | Zeile 22: | ||
=Maßnahme der Website-Betreiber gegen XSS-Attacken= | =Maßnahme der Website-Betreiber gegen XSS-Attacken= | ||
*Alle eingehenden Eingabewerte als unsicher betrachten. | *Alle eingehenden Eingabewerte als unsicher betrachten. | ||
| + | *Das Eingabefeld sollte nur als String und nicht als Code Block interpretiert werden. | ||
*Alle Daten sollten entsprechend geprüft werden. | *Alle Daten sollten entsprechend geprüft werden. | ||
*Auch hier kann man Whitelisten anlegen | *Auch hier kann man Whitelisten anlegen | ||
Aktuelle Version vom 4. September 2024, 12:40 Uhr
XSS/Cross-Site-Scripting
- Ausnutzen von Sicherheitslücken in Webanwendungen
- Schädliche Skripte werden dabei in einen vertrauenswürdigen Kontext eingespeist
- System der Nutzer kann angeriffen werden
- Meist in JavaScript und/oder Quelltextdatei programmiert werden.
- harmlosen Varianten beispielsweise aufpoppende Fenster
- Worst Case - Zugriff auf vertrauliche Informationen
Gefahr
- Gefahr besteht wenn Benutzerdaten ohne Überprüfung an den Webbrowser weiterleitet werden
- Über XSS-Löcher gelangen die schädlichen Skripte zu den betroffenen Clients.
- Dort kommt es zur manipulieren serverseitige Skripte zur Benutzeranmeldung.
Es gibt 3 Arten des Cross-Site-Scripting/XSS
- Reflektiertes Cross-Site-Scripting/XSS
- Persistentes Cross-Site-Scripting/XSS
- DOM-basiertes Cross-Site-Scripting/XSS
Schutzmaßnahmen für Internet-User
- Ausschalten der JavaScript-Unterstützung im Browser.
- Es gibt Add-ons, die Sie vor XSS-Angriffen schützen können.
- Beispiel Mozilla Firefox Erweiterung NoScript.
- Man kann Whitelisten setzen wenn diese sicher sind
Maßnahme der Website-Betreiber gegen XSS-Attacken
- Alle eingehenden Eingabewerte als unsicher betrachten.
- Das Eingabefeld sollte nur als String und nicht als Code Block interpretiert werden.
- Alle Daten sollten entsprechend geprüft werden.
- Auch hier kann man Whitelisten anlegen
- Man kann Eingaben auf Ihrer Website zu scannen und nur vertrauenswürdige Inhalte zuzulassen,
- Exzellenten Schutz gegen Cross-Site-Scripting.
- Vorgeschaltete Webprotection(z.B. Sophos Webprotection)
- Datenausgabe sollte auch abgesichert werden
- Problematischen HTML-Metazeichen durch Zeichenreferenzen ersetzen
- Metazeichen werden normale Zeichen gewertet
- potenzielle eingeschleuste Skripte können nicht gestartet werden.
- Die meisten Programmiersprachen können dies.