Skip to main content

Cross-site scripting (XSS)

Gerelateerde fout

"Deze server is kwetsbaar voor een cross-site scripting-aanval. Zorg ervoor dat de (JavaScript) gegevens aan de clientzijde veilig en gevalideerd zijn."

Probleem

Cross-site scripting is een webaanval op kwetsbare webapplicaties met JavaScript. Schadelijke inhoud wordt gestuurd naar gebruikers met JavaScript via een onveilige of niet-vertrouwde bron door de gegevens samen te stellen voor een gevaarlijke sink in het Document Object Model (DOM) in plaats van in HTML, dat een gewone XSS aangeeft.

XSS-aanvallen vinden plaats wanneer de invoergegevens naar een webapplicatie niet zijn gevalideerd en de uitvoergegevens naar de browser niet zijn gecodeerd in HTML.

Wanneer XSS-aanvallen succesvol zijn, kunnen aanvallers:

  • Een account kapen.

  • Webwormen verspreiden.

  • Toegang krijgen tot browsergeschiedenis en inhoud van het klembord.

  • De browser op afstand bedienen.

  • Intranet-apparaten en -applicaties scannen en misbruiken.

Oplossing

XSS-fouten in webapplicaties identificeren en voorkomen:

  1. Valideer de gegevens die door gebruikersbrowsers zijn ingevoerd in de webapplicatie.

  2. Codeer alle uitvoer naar gebruikersbrowsers vanuit de webapplicatie.

  3. Geef gebruikers de mogelijkheid om scripts aan de clientzijde uit te schakelen.

In deze sectie: