Computer Praxistipps

Cross-Site-Scripting (XSS) zählt zu den größten Gefahren im Internet

Lesezeit: 2 Minuten Immer wieder treten neue Formen von Gefahren im Internet auf. Besonders gefährdete Bereiche sind das Abwickeln von Einkäufen und Bankgeschäften. Eine neue Angriffsmöglichkeit ist das Cross-Site-Scripting – kurz XSS genannt.

2 min Lesezeit

Cross-Site-Scripting (XSS) zählt zu den größten Gefahren im Internet

Lesezeit: 2 Minuten

Immer komplexer werdende IT-Systeme und die zunehmende Vernetzung macht es Administratoren schwer, aller Gefahren im Internet Herr zu werden. Neue Arten von Angriffen auf User von Webshops und Online-Banking-Seiten geschehen unter anderem mit Cross-Site-Scripting.

Was ist Cross-Site-Scripting (XSS)?
Beim Cross-Site-Scripting, auch XSS genannt, nutzen Betrüger Sicherheitslücken in Browsern und Webapplikationen aus. Das sind Programme, die auf einem Webserver ausgeführt werden, zum Beispiel mittels JavaScript. Der User agiert dabei in seinem Webbrowser.

Angriffe mittels Cross-Site-Scripting geschehen durch die ungeprüfte Weiterleitung von Daten eines Nutzers an einen nicht vertrauenswürdigen Dritten. Daten, die der Nutzer in Textfelder oder Eingabeformulare eingibt, werden manipuliert. Das kann auch auf bekannten und daher scheinbar sicheren Webseiten geschehen.

Über den Server der vertrauenswürdigen Seite werden die manipulierten Daten zurück an den Browser des Opfers gesendet. Durch diese Weiterleitung erscheint die Quelle der manipulierten Daten vertrauenswürdig. So können Angreifer mittels XSS Skripte oder schädliche Programme in Browser des Users ausführen.

Das Ziel der meisten Angriffe mittels Cross-Site-Scripting ist es, an Daten des Benutzers zu gelangen, zum Beispiel Zugangsdaten zu Benutzerkonten.

Schutz vor Cross-Site-Scripting
Programmierer von Webapplikationen können Maßnahmen zum Schutz vor XSS-Attacken in ihre Anwendungen integrieren. So können sie zum Beispiel alle Eingaben in ihrer Anwendung überprüfen lassen, um schädlichen Code herauszufiltern.

Der Nutzer, der zum Opfer der XSS-Attacke wird, sieht nicht, dass nicht vertrauenswürdige Skripte auf seinem Computer ausgeführt werden. Um sich als Nutzer einer Webseite vor der Gefahr des XSS zu schützen, kann man in seinem Browser die Unterstützung für JavaScript deaktivieren. Damit schränkt man allerdings den Funktionsumfang seines Browsers ein.

Wichtiger ist es, seinen Browser stets auf dem aktuellsten Stand zu halten, um Gefahren im Internet besser abwehren zu können. Der Firefox Version 4 unterstützt eine Schutzmaßnahme gegen Cross-Site-Scripting.

Mit der "Content Security Policy" können Webadministratoren festlegen, welche Domains vertrauenswürdige Quellen von JavaScript sind. Diese Quellen werden an den Browser des Nutzers gesendet. Code aus nicht vertrauenswürdigen Quellen wird so ignoriert. XSS-Attacken können damit abgewehrt werden.

PS: Qualitätsmanagement ist uns wichtig!

Bitte teilen Sie uns mit, wie Ihnen unser Beitrag gefällt. Klicken Sie hierzu auf die unten abgebildeten Sternchen (5 Sternchen = sehr gut):

Bitte warten...

PPS: Ihnen hat der Beitrag besonders gut gefallen?

Unterstützen Sie unser Ratgeberportal: