Cross-Site Scripting (XSS) ist eine häufige Sicherheitslücke im Netzwerk , deren Ziel darin besteht, bösartige Skripte auf der angegriffenen Webseite einzuschleusen . Dies ermöglicht es Angreifern, Schadcode im Browser des Benutzers auszuführen und an vertrauliche Informationen des Benutzers zu gelangen, Sitzungen zu kapern, Webseiteninhalte zu ändern und vieles mehr .
Die Umsetzung von Cross-Site-Angriffen beruht in der Regel darauf, dass Webanwendungen die von Benutzern eingegebenen Daten nicht ordnungsgemäß filtern und validieren. Angreifer können bösartigen Skriptcode in Benutzereingaben, URL-Parameter, Formularübermittlungen usw. einschleusen. Wenn ein Benutzer eine Seite besucht oder mit ihr interagiert, lädt die angegriffene Webseite das eingeschleuste Schadskript in den Browser des Benutzers und führt es im Namen des Benutzers aus.
Cross-Site-Angriffe können in drei Typen unterteilt werden: (1) gespeichertes XSS, (2) reflektiertes XSS und (3) DOM-basiertes XSS. Site-übergreifende Angriffe können schwerwiegende Folgen haben, darunter Identitätsdiebstahl, Verletzungen der Privatsphäre und böswillige Vorgänge. Um standortübergreifende Angriffe zu verhindern, sollten Entwickler eine strenge Filterung und Validierung der Benutzereingaben implementieren und sichere Codierungspraktiken befolgen. Benutzer sollten außerdem ihre Browser und Plug-ins auf dem neuesten Stand halten und vermeiden, auf verdächtige Links zu klicken oder persönliche Informationen an nicht vertrauenswürdige Websites weiterzugeben.
(1) Gespeichertes XSS: Schädliche Skripte werden in der Datenbank der Zielwebsite gespeichert. Wenn andere Benutzer die Seite besuchen, die das schädliche Skript enthält, wird das Skript aus der Datenbank extrahiert und ausgeführt.
| Schritt 1 | Der Angreifer findet eine Zielwebsite, die über Benutzereingabepunkte verfügt, die nicht ordnungsgemäß gefiltert und validiert werden, wie z. B. Kommentarfelder, Message Boards usw. Über diese Einstiegspunkte können Benutzer Inhalte eingeben und in der Datenbank der Website speichern . |
| Schritt 2 | Der Angreifer fügt am Eintrittspunkt bösartigen Skriptcode ein, normalerweise durch Einschleusen von JavaScript-Code . Schädliche Skripte werden normalerweise verwendet, um vertrauliche Benutzerinformationen wie Benutzernamen, Passwörter, Cookies usw. zu stehlen. Angreifer können verschiedene Techniken und Mittel nutzen, um bösartige Skripte beim Laden und Ausführen unsichtbar zu machen. |
| Schritt 3 | Wenn andere Benutzer die angegriffene Webseite besuchen , ruft die Webseite den Inhalt mit dem schädlichen Skript aus der Datenbank ab und bettet ihn in die Webseite ein . |
| Schritt 4 | Wenn der Browser des Benutzers eine Webseite lädt, führt er das eingebettete Schadskript aus. Dies ermöglicht es Angreifern, beliebige JavaScript-Codes als Benutzer auszuführen und so an vertrauliche Benutzerinformationen zu gelangen, Webseiteninhalte zu manipulieren oder andere böswillige Operationen durchzuführen . |
(2) Reflektierendes XSS: Schädliche Skripte sind Teil der URL-Parameter . Wenn ein Benutzer auf einen schädlichen Link klickt oder ein Formular mit einem Angriffsskript sendet, fügt der Server das Skript in die Antwort ein und leitet es zur Ausführung an den Browser des Benutzers weiter.
| Schritt 1 | Der Angreifer erstellt eine URL, die bösartigen Code enthält, und sendet die URL normalerweise per E-Mail, über soziale Medien oder auf andere Weise an den Zielbenutzer . |
| Schritt 2 | Der Zielbenutzer klickt auf eine URL, die Schadcode enthält, wodurch die URL an den Server der Zielwebsite gesendet wird . |
| Schritt 3 | Der Server der Zielwebsite extrahiert den Parameter aus der URL und fügt diesen Parameter in die resultierende Webseite ein, normalerweise als Teil der Antwort . |
| Schritt 4 | Der Browser des Zielbenutzers empfängt die Antwort und wenn der Browser die Webseite analysiert, wird der Schadcode ausgeführt. Dadurch kann ein Angreifer im Namen des Benutzers beliebigen JavaScript-Code ausführen und so vertrauliche Informationen des Benutzers stehlen oder andere böswillige Aktivitäten ausführen. |
(3) DOM-basiertes XSS: Das Angriffsskript erreicht den Zweck böswilliger Vorgänge , indem es die DOM-Struktur (Document Object Model) der Seite ändert . Skripte werden auf der Clientseite ausgeführt, ohne dass eine Anfrage an den Server gesendet wird. Im Gegensatz zu gespeichertem XSS und reflektiertem XSS werden DOM-basierte XSS-Angriffe nicht durch Interaktion mit dem Server implementiert, sondern auf der Clientseite ausgeführt .
| Schritt 1 | Der Angreifer erstellt eine bösartige URL oder übermittelt ein Formular mit einem bösartigen Skript und sendet es an den Zielbenutzer. |
| Schritt 2 | Der Zielbenutzer klickt auf eine bösartige URL oder sendet ein Formular mit bösartigem Skript. |
| Schritt 3 | Der Browser des Benutzers empfängt den schädlichen Inhalt und beginnt mit der Analyse des HTML-Codes der Webseite. |
| Schritt 4 | Während des Parsing-Vorgangs ändert das bösartige Skript die DOM-Struktur der Webseite und fügt Code ein, der bösartige Vorgänge ausführt, z. B. das Ändern des Inhalts der Seite, das Stehlen von Benutzerdaten usw. |
| Schritt 5 | Wenn der Browser des Benutzers DOM-Vorgänge ausführt , führt er das eingefügte Schadskript aus, wodurch das Angriffsskript ausgeführt wird. |