Cross Site Scripting (XSS)

Cross Site Scripting (XSS) ist die mit Abstand am weitesten verbreitete Schwachstelle - sie betrifft nahezu jede Web-Anwendung (siehe auch "Schwachstellen in Web-Seiten", BSI-Lagebericht 2009, Seite 38). XSS-Lücken treten dann auf, wenn eine Anwendung von einem Benutzer übermittelte Daten an den Browser zurückgibt, ohne zu prüfen, ob die Zeichen codiert dargestellt werden müssen. Das ermöglicht einem Angreifer, beispielsweise Javascript-Code im Browser eines Opfers zur Ausführung zu bringen. Dieser bösartige Code kann im Browser auf alle Informationen der betroffenen Website zugreifen. Hierzu zählen Session-Informationen, die in Cookies gespeichert sind, aber auch in Eingabefelder eingegebene Informationen wie Passwörter. Durch Javascript lassen sich auch Bestandteile einer Web-Seite modifizieren oder identisch nachbilden. Im Falle einer Login-Maske werden die eingegebenen Login-Daten zunächst an einen Angreifer weitergeleitet, und erst dann erfolgt der eigentliche Login-Vorgang. Die XSS-Schwachstelle dient oft als Werkzeug für den als "Phishing" bekannt gewordenen Angriff, bei dem Web-Nutzer verleitet werden sollen, sensible Daten preiszugeben.