Cross-Site-Scripting (XSS) zählt zu den größten Gefahren im Internet

Immer wieder treten neue Formen von Gefahren im Internet auf. Besonders gefährdete Bereiche sind das Abwickeln von Einkäufen und Bankgeschäften. Eine neue Angriffsmöglichkeit ist das Cross-Site-Scripting – kurz XSS genannt.
von

Immer komplexer werdende IT-Systeme und die zunehmende Vernetzung macht es Administratoren schwer, aller Gefahren im Internet Herr zu werden. Neue Arten von Angriffen auf User von Webshops und Online-Banking-Seiten geschehen unter anderem mit Cross-Site-Scripting.

Was ist Cross-Site-Scripting (XSS)?
Beim Cross-Site-Scripting, auch XSS genannt, nutzen Betrüger Sicherheitslücken in Browsern und Webapplikationen aus. Das sind Programme, die auf einem Webserver ausgeführt werden, zum Beispiel mittels JavaScript. Der User agiert dabei in seinem Webbrowser.

Angriffe mittels Cross-Site-Scripting geschehen durch die ungeprüfte Weiterleitung von Daten eines Nutzers an einen nicht vertrauenswürdigen Dritten. Daten, die der Nutzer in Textfelder oder Eingabeformulare eingibt, werden manipuliert. Das kann auch auf bekannten und daher scheinbar sicheren Webseiten geschehen.

Über den Server der vertrauenswürdigen Seite werden die manipulierten Daten zurück an den Browser des Opfers gesendet. Durch diese Weiterleitung erscheint die Quelle der manipulierten Daten vertrauenswürdig. So können Angreifer mittels XSS Skripte oder schädliche Programme in Browser des Users ausführen.

Das Ziel der meisten Angriffe mittels Cross-Site-Scripting ist es, an Daten des Benutzers zu gelangen, zum Beispiel Zugangsdaten zu Benutzerkonten.

Schutz vor Cross-Site-Scripting
Programmierer von Webapplikationen können Maßnahmen zum Schutz vor XSS-Attacken in ihre Anwendungen integrieren. So können sie zum Beispiel alle Eingaben in ihrer Anwendung überprüfen lassen, um schädlichen Code herauszufiltern.

Der Nutzer, der zum Opfer der XSS-Attacke wird, sieht nicht, dass nicht vertrauenswürdige Skripte auf seinem Computer ausgeführt werden. Um sich als Nutzer einer Webseite vor der Gefahr des XSS zu schützen, kann man in seinem Browser die Unterstützung für JavaScript deaktivieren. Damit schränkt man allerdings den Funktionsumfang seines Browsers ein.

Wichtiger ist es, seinen Browser stets auf dem aktuellsten Stand zu halten, um Gefahren im Internet besser abwehren zu können. Der Firefox Version 4 unterstützt eine Schutzmaßnahme gegen Cross-Site-Scripting.

Mit der "Content Security Policy" können Webadministratoren festlegen, welche Domains vertrauenswürdige Quellen von JavaScript sind. Diese Quellen werden an den Browser des Nutzers gesendet. Code aus nicht vertrauenswürdigen Quellen wird so ignoriert. XSS-Attacken können damit abgewehrt werden.

Ähnliche Beiträge:

  1. Alternative kostenlose Internet-Browser für Android-Smartphones und Tablets
  2. 5 Gefahren, die Website-Betreiber kennen sollten
  3. Neue Browser kommen auf den Markt
  4. So deaktivieren Sie ActiveX-Steuerelemente in Ihrem Browser
  5. Internet Explorer 8: Neue Sicherheitsfunktionen nutzen
  6. Cross Shaper: Besser als Nordic Walking
  7. MEGA-Cloudspeicher: 50 GB Online-Speicher kostenlos nutzen
  8. Addons zur Steigerung von Sicherheit und Privatsphäre für Firefox
  9. Browser-Befehle: Entdecken Sie die geheimen Einstellungen für Google Chrome
  10. Browser-Vergleich: Internet Explorer 9 oder Firefox 4