|
Cross-Site Scripting
Cross-Site Scripting wird nicht mit CSS, sonder mit XSS abgekürzt. So werden Verwechslungsgefahren mit dem Cascading Style Sheets (CSS) vermieden. Per Cross-Site Scripting können Session-Cookies gestohlen und Inhalte manipuliert werden. Ein „Angriff“ sieht etwa so aus: Von einer Seite, die vom Angreifer kontrolliert wird, wird der ahnungslose User z.B. über einen manipulierten Hyperlink, zu einer vertrauenswürdige Seite geleitet. Dabei ahnt der User nichts. Von dieser „vertrauenswürdigen“ Seite wird dann einen Angriff gestartet.
Beim Cross-Site Scripting unterscheidet man zwei Angriffsarten:
Clientseitig:
Clientseitig drückt einfach nur aus, das der Code auf Seite des Clients ausgeführt wird. So z.B. im Webbrowser oder E-Mail-Programm des Opfers. Beim clientseitigen Cross-Site Scripting werden häufig URL-Spoofing-Techniken und Kodierungsverfahren eingesetzt, um den Link unauffällig oder vertrauenswürdig erscheinen zu lassen.
Umso mächtiger die Skriptsprache, umso mehr Schade kann dabei der Code verursachen. Gerade wenn der Benutzer dabei auch noch als Administratoren unterwegs ist, wie es z.B. bei den meisten Windows-Systemen gang und gebe ist, kann noch weit mehr Schaden angerichtet werde. Aber auch ohne Administrator-Rechte ist man leider nicht geschützt.
Vor clientseitige XSS-Angriffe kann man sich durch das Ausschalteten von JavaScript (Active Scripting) im Browser schützen.
Serverseitig
Im Gegensatz zum clientseitigen Cross-Site Scripting, wird der Code nicht auf dem Client sondern auf dem Server ausgeführt. Möglichkeiten bieten z.B. PHP per „include“ oder Perl über eine Shell.
|
|
