netzwerk-header
 
Navigation
image Home
image Bücher Shop
image Datenschutz
image Impressum
nav

Netzwerke
image Geschichte
image Grundlagen
image Komponente
image Skripte
image FAQ
image Glossar
nav

W-LAN
image Allgemeines
image Sicherheit
image Reichweite
nav

Netzwerk Praxis
image Windows
image Linux
nav

Sonstiges
image Quiz
image Downloads
image Hardware
image Specials
image Newsarchiv
image Partner
nav

nav
nav
 
 


Cross-Site Scripting

Cross-Site Scripting wird nicht mit CSS, sonder mit XSS abgekürzt. So werden Verwechslungsgefahren mit dem Cascading Style Sheets (CSS) vermieden. Per Cross-Site Scripting können Session-Cookies gestohlen und Inhalte manipuliert werden. Ein „Angriff“ sieht etwa so aus: Von einer Seite, die vom Angreifer kontrolliert wird, wird der ahnungslose User z.B. über einen manipulierten Hyperlink, zu einer vertrauenswürdige Seite geleitet. Dabei ahnt der User nichts. Von dieser „vertrauenswürdigen“ Seite wird dann einen Angriff gestartet.

Beim Cross-Site Scripting unterscheidet man zwei Angriffsarten:
  • Clientseitg
  • Serverseitig
Clientseitig:
Clientseitig drückt einfach nur aus, das der Code auf Seite des Clients ausgeführt wird. So z.B. im Webbrowser oder E-Mail-Programm des Opfers. Beim clientseitigen Cross-Site Scripting werden häufig URL-Spoofing-Techniken und Kodierungsverfahren eingesetzt, um den Link unauffällig oder vertrauenswürdig erscheinen zu lassen.

Umso mächtiger die Skriptsprache, umso mehr Schade kann dabei der Code verursachen. Gerade wenn der Benutzer dabei auch noch als Administratoren unterwegs ist, wie es z.B. bei den meisten Windows-Systemen gang und gebe ist, kann noch weit mehr Schaden angerichtet werde. Aber auch ohne Administrator-Rechte ist man leider nicht geschützt.

Vor clientseitige XSS-Angriffe kann man sich durch das Ausschalteten von JavaScript (Active Scripting) im Browser schützen.

Serverseitig
Im Gegensatz zum clientseitigen Cross-Site Scripting, wird der Code nicht auf dem Client sondern auf dem Server ausgeführt. Möglichkeiten bieten z.B. PHP per „include“ oder Perl über eine Shell.