Cross-Site-Scripting Grundlagen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

XSS/Cross-Site-Scripting

  • Ausnutzen von Sicherheitslücken in Webanwendungen
  • Schädliche Skripte werden dabei in einen vertrauenswürdigen Kontext eingespeist
  • System der Nutzer kann angeriffen werden
  • Meist in JavaScript und/oder Quelltextdatei programmiert werden.
  • harmlosen Varianten beispielsweise aufpoppende Fenster
  • Worst Case - Zugriff auf vertrauliche Informationen

Gefahr

  • Gefahr besteht wenn Benutzerdaten ohne Überprüfung an den Webbrowser weiterleitet werden
  • Über XSS-Löcher gelangen die schädlichen Skripte zu den betroffenen Clients.
  • Dort kommt es zur manipulieren serverseitige Skripte zur Benutzeranmeldung.

Es gibt 3 Arten des Cross-Site-Scripting/XSS

Schutzmaßnahmen für Internet-User

  • Ausschalten der JavaScript-Unterstützung im Browser.
  • Es gibt Add-ons, die Sie vor XSS-Angriffen schützen können.
  • Beispiel Mozilla Firefox Erweiterung NoScript.
  • Man kann Whitelisten setzen wenn diese sicher sind

Maßnahme der Website-Betreiber gegen XSS-Attacken

  • Alle eingehenden Eingabewerte als unsicher betrachten.
  • Alle Daten sollten entsprechend geprüft werden.
  • Auch hier kann man Whitelisten anlegen
  • Man kann Eingaben auf Ihrer Website zu scannen und nur vertrauenswürdige Inhalte zuzulassen,
  • Exzellenten Schutz gegen Cross-Site-Scripting.
  • Vorgeschaltete Webprotection(z.B. Sophos Webprotection)
  • Datenausgabe sollte auch abgesichert werden
  • Problematischen HTML-Metazeichen durch Zeichenreferenzen ersetzen
  • Metazeichen werden normale Zeichen gewertet
  • potenzielle eingeschleuste Skripte können nicht gestartet werden.
  • Die meisten Programmiersprachen können dies.

Quelle

Abgerufen von „http://wiki.ixheim.de/index.php?title=Cross-Site-Scripting_Grundlagen&oldid=42722