Skip to main content

Cross-Site-Scripting (XSS)

Entsprechender Fehler

„Der Server ist durch Cross-Site-Scripting-Angriffe gefährdet. Stellen Sie sicher, dass die clientseitigen Daten (JavaScript) sicher und validiert sind.“

Problem

Cross-Site-Scripting ist ein Web-Angriff auf anfällige Web-Anwendungen, die JavaScript verwenden. Bösartige Inhalte werden JavaScript-fähigen Benutzern über eine unsichere oder nicht vertrauenswürdige Quelle zugestellt, indem die Daten in eine gefährliche Senke innerhalb des Document Object Model (DOM) und nicht in HTML komponiert werden, was ein reguläres XSS darstellt.

XSS-Angriffe erfolgen, wenn die Eingabedaten in eine Webanwendung nicht validiert werden und die Ausgabedaten an den Browser nicht in HTML codiert sind.

Wenn XSS-Angriffe erfolgreich sind, können Angreifer:

  • Ein Konto übernehmen.

  • Web-Würmer verbreiten.

  • Auf den Browserverlauf und den Inhalt der Zwischenablage zugreifen.

  • Den Browser aus der Ferne steuern.

  • Intranet-Anwendungen und Applikationen scannen und ausnutzen.

Lösung

Um XSS-Fehler in Webanwendungen zu erkennen und zu verhindern:

  1. Validieren Sie die Daten, die von Benutzer-Browsern in die Webanwendung eingegeben werden.

  2. Kodieren Sie alle Ausgaben der Webanwendung für die Browser der Benutzer.

  3. Geben Sie Benutzern die Möglichkeit, clientseitige Skripte zu deaktivieren.