Webdesign Blog Suche
« Grafiken vorladen - HTML, CSS, Javascript
Google und die dynamischen Url´s »

XSS - Cross Site Scripting

Cross Site Scripting (XXS) sind Angriffe auf Webanwendungen bzw. Webseiten. Ziel der Angriffe sind meist persönliche Daten der User oder Anwendungen auf Webseiten zu schädigen. Die Schwachstellen treten vor allem bei Formularen auf, wenn Benutzereingaben nicht ausreichend gefiltert werden.

Zur Veranschaulichung mal ein einfaches Beispiel eines Cross Site Scripting (XXS):

Die Webseite mit der Schwachstelle bietet eine Volltext Suche an. Der Angreifer gibt aber kein einfaches Suchwort ein, sondern zum Beispiel folgenden Code:

<script type="text/javascript>alert('Suche');</script>

Wenn er nun den die Suche ausführt, würde nicht nur das Suchergebnis ausgegeben, sondern es öffnet sich auch ein kleines Fenster mit der Meldung “Suche”.

Sicher würde dieses Beispiel keinen Webseitenbetreiber beunruhigen, aber es war auch nur eine einfache Variante des Cross Site Scripting.

Angriffsarten von Cross Site Scripting:

Clientseitiges XXS

Hier sind alle Angriffe auf den Besucher gerichtet. Wie oben im Beispiel erwähnt, wird zum Beispiel versucht an persönliche Daten zu kommen.

Serverseitiges XXS

Auch der Angriff auf den Server ist möglich. Meist werden hier Datenbankanwendungen beeinflusst oder Daten beim Eintrag abgefangen.

Schädigungsarten von Cross Site Scripting:

Phishing

Leider ist Phishing eine der beliebtesten Arten von XXS. Die User wird aufgefordert seine Logindaten des Online Banking einzugeben. Alles sieht aus wie bei der normalen Bankseite, jedoch werden die Daten auf einen anderen Server gespeichert und später für kriminelle Zwecke(Bankkonto wird leer geräumt) genutzt.

Zugangsdaten

Hier wird das automatische ausfüllen von Formularen zum Halsbrecher. Diese Funktion ist deshalb nicht zu empfehlen, weil Sie das Abfangen der Zugangsdaten für Angreifer zum Kinderspiel macht. Es ist nur ein kleiner Javascript Code dafür nötig und der User merkt dies nicht einmal.

Inhalte fälschen

Der Angreifer versucht einen HTML- oder Javascript Code in die Webseite einzuschleusen, um Inhalte umzuändern. Dies kann zu Verwirrungen für den Besucher führen bzw. eine Seite sehr schlecht darstellen.

Schutzmaßnahmen Cross Site Scripting:

PHP Funktionen

PHP bietet viele Funktionen um einen geeigneten Schutz einzubauen. Zum Beispiel kann man mit der Funktion strip_tags() entweder alle oder gewählte HTML-Tags ausfiltern, wenn diese nicht notwendig sind.

POST & GET

Variablen sollten immer nur in der Variante geprüft werden, in welcher Sie auch verschickt wurden. Also POST Variablen mit z. Bsp. $test=$_POST['test'] und GET nur so $test=$_GET['test']. Auf Request und ähnliche Varianten sollte ganz verzichtet werden.

Cross Site Scripting ist sehr vielfältig und kann in vielen Bereichen angewandt werden. Man kann eine Webseite kaum vor allen Arten Schützen, sollte aber Grundlegende Regeln (Umgang mit Variablen u.s.w.) einhalten.

Bookmarken bei Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • Digg
  • del.icio.us
  • Webnews
  • MisterWong
  • Y!GG
  • Google Bookmarks
  • SEOigg
  • Technorati
  • Alltagz
  • Linkarena

Informationen zum Blogartikel "XSS - Cross Site Scripting"

Most Commented Posts

Hinterlasse eine Antwort




Copyright flexib webcoding - Webdesign, Programmierung und SEO in Halle - Saalekreis - Leipzig
flexib webcoding is powered by WordPress | Beiträge (RSS) | Kommentare (RSS) | Impressum | AGB | Webdesign Blog Tags