Das Problem: XSS-Lücken gehören zu den gängigsten und gefährlichsten Schwachstellen in Web-Anwendungen. Sie entstehen, wenn eine Applikation von Nutzern stammende Daten an einen Web-Browser schickt, ohne die Inhalte zuvor zu überprüfen oder zu verschlüsseln. XXS ermöglicht Hackern, bösartige Skripte im Browser des Opfers auszuführen und darüber Nutzer-Sessions zu kapern, Schadcode zu injizieren und Phishing- beziehungsweise Malware-Attacken zu fahren. Die Angriffe werden in der Regel mittels JavaScript ausgeführt, im Prinzip ist aber jede vom Browser unterstützte Script-Sprache anfällig für diese Art von Attacke, so der Report.
Beispiel: Im vergangenen Jahr geriet der Bezahldienst PayPal ins Fadenkreuz von Hackern. Im Zuge der Attacke wurden PayPal-Besucher unter dem Vorwand, ihre Accounts seien gehackt worden, auf eine Phishing-Seite umgeleitet und dort zur Eingabe ihrer Login-Daten, Sozialversicherungsnummern sowie Kreditkartendetails aufgefordert. Nach Angaben der Firma wurde die Sicherheitslücke im Juni 2006 geschlossen.
Basis-Schutz: Laut Owasp empfiehlt es sich, sämtliche eingehenden Daten mit Hilfe einer Whitelist zu überprüfen. Anders als beim Black-Listing, das lediglich nachweislich "schlechten" Input blockiert, lehnt das Whitelist-Verfahren alles ab, was in der Liste nicht explizit als "gutartig" aufgeführt ist. Der gesamte Daten-Output wiederum sollte verschlüsselt sein. Mittels Validierung lassen sich Attacken aufspüren und vereiteln, während Verschlüsselung verhindert, dass erfolgreich injizierter Schadcode im Browser laufen kann.
