Was ist Cross Site Scripting (XSS)?

Das so genannte Cross Site Scripting ist eine zunehmend verbreitete Methode, Web-Applikationen anzugreifen. Dabei manipuliert ein Angreifer die Web-Anwendung so, dass sie schädlichen Skriptcode in die dem Besucher angezeigte Seite einbettet. Der Browser verarbeitet den eingeschmuggelten Code dann so, als sei es ein legitimer Inhalt der Web-Seite - mit allen entsprechenden Sicherheitsfreigaben. Ferner droht Unternehmen im Fall eines Server-Absturzes und dem damit verbundenen Datenverlust erheblicher Schaden. Denn oft fehlt ein ausgearbeiteter Krisenplan im Hinblick auf ein verlässliches Ersatzsystem zur Datensicherung, was die zeitnahe Wiederherstellung von Daten erschwert.

Was hilft gegen XSS-Attacken?

Sämtliche Informationen, die per Formulareingabe oder URL-Parameter (Uniform Resource Locator) an den Server übermittelt werden, sind zunächst auf Schadcodes zu überprüfen. Gibt ein User zur Registrierung auf einer Website etwa als Benutzernamen "<script type='text/javascript'> alert('hallo');</script>" ein, dürfte nach dem Senden der Formulareingabe in keinem Fall ein Dialogfenster "Hallo" statt des Benutzernamens erscheinen. Dies wäre ein eindeutiges Indiz für eine nicht geprüfte und folglich für Cross Site Scripting und eventuell sogar SQL-Injection anfällige Web-Seite. Gerade Schwachstellen im Eingabefeld wie dem Suchformular ermöglichen es, Inhalte auszutauschen oder schädlichen Programmcode auszuführen, um den Benutzer zu täuschen und so an seine Zugangsdaten oder Kontoinformationen zu gelangen. Mit einem Web-Scanner lassen sich Web-Seiten einfach auf XSS-Lücken abklopfen.