Was ist Cross-Site Scripting (XSS)?
Welche Arten von XSS gibt es?
Der Name Cross-Site Scripting (XSS) stammt aus einer Zeit in der es möglich war, von einem Browser Tab oder Fenster den Inhalt eines anderen auszulesen. Also über „Cross“ Seiten „Site“ hinweg agieren und Informationen auslesen. Moderne Browser bieten guten Schutz gegen diese ursprüngliche Funktionsweise.
Heutzutage wird der Name für Angriffe benutzt, bei denen der Angreifer gezielt Schwachstellen in Scripten auf Webseiten ausnutzt, um seinen eigenen Code ausführen zu lassen. Im schlimmsten Fall gelingt es ihm, eines seiner Schadcode Stücke direkt in eine Webseite zu integrieren oder über Social Media zu verbreiten. Gekoppelt an harmlose Funktionen, werden die Schadcode Stücke im Hintergrund im Browser des Besuchers ausgeführt und Informationen, Daten und Passwörter an den Angreifer übermittelt.
Eine Spezialform des XSS Angriffs ist das Cross-Site Request Forgery oder auch Session Riding. Dabei nutzt der Angreifer die Tatsache aus, dass viele Webseiten den Browser bzw. den Besucher erkennen und ihm gewisse Komfort Features bereitstellen, beispielsweise das Eingeloggt bleiben auf Webseiten mit Login Bereich. Der Angreifer setzt darauf, dass sein Opfer auf einen von ihm erstellten Link klickt und somit das Script ausgeführt werden kann.