Wat ass Cross-Site Scripting

By Christine Margret Nee Comments 5 Minutt

Cross-Site Scripting, och XXS genannt, ass e béiswëlleg Attack deen bewosst béiswëlleg Scripten an de Webbrowser vun engem Benotzer injizéiert. Den Ugräifer fiert béisaarteg Code an enger Webapplikatioun oder Websäit aus, a soubal de Benotzer d'Webapplikatioun oder Websäit besicht; dat béiswëlleg Skript gëtt automatesch an de Browser vum Benotzer iwwerdroen.

Kräiz Site Scripting

Op dës Manéier iwwerhëlt den Ugräifer d'Kontroll iwwer de Browser vum Benotzer oder säi Kont op enger spezifescher Websäit. Et heescht datt dësen Attack net d'Webapplikatioun selwer schued, mee d'Benotzer vun där Applikatioun beaflosst.

Ausserdeem ginn déi béiswëlleg Scripte normalerweis als JavaScript Code iwwerdroen. Wéi och ëmmer, déi béiswëlleg Coden kënnen och d'Browser vun de Benotzer an anere Sproochen ausnotzen, dorënner HTML, Ajax, Flash a Java.

kréien FastestVPN

Resumé vun der Erklärung

Hei ass de kuerze Resumé vun der Cross-Site Scripting Erklärung:

  • XXS ass e webbaséierten Attack op vulnerabel Websäiten oder Webapplikatiounen
  • Et schued d'Benotzer vun der Webapplikatioun, net d'Applikatioun selwer
  • XXS iwwerdréit béisaarteg Programmer un d'Benotzer iwwer JavaScript.

Wéi funktionnéiert Cross-Site Scripting (XXS) Attack?

Cross-Site Scripting Attacke stattfannen op eng Manéier datt et fir d'éischt eng vulnérabel Webapplikatioun mat béiswëlleg Skript manipuléiert, an dann liwwert d'Webapplikatioun dat béiswëlleg JavaScript dem Benotzer säi Browser.

Soubal de béisaarteg Skript an de Benotzerbrowser erakënnt, kann den Ugräifer einfach d'Kontroll iwwer de Browser vum Benotzer iwwerhuelen.

Zweck vun Cross-Site Scripting

En Ugräifer mécht XXS Attacke wéinst de folgende Grënn:

  • Fir e Kont ze hacken
  • Fir béiswëlleg Software a Viren op Systemer ze iwwerdroen, déi den Internet benotzen
  • Fir Zougang zu engem Benotzer säi Clipboard Inhalt a Browsergeschicht
  • Fir de Benotzer säi Browser op afstand ze lafen
  • Fir Intranetapplikatiounen auszenotzen an ze kréien

Beispiller vu Cross-Site Scripting

E puer vun de vulnérabelste Quelle fir d'Injektioun vun XXS sinn selbst gehoste Bulletin-Board Foren a Websäiten déi Benotzerposten erlaben.

Elo deele mir en einfacht Beispill vu Cross-Site Script hei ënnen:

Et ass e JSP Code, an deem Dir kënnt gesinn datt eng HTTP Ufro gemaach gëtt, an de Code liest eng Employé ID, eid, weist et dem Benotzer.

De Code an dësem Beispill funktionnéiert nëmme gutt wann de Code (eid) Standard alphanumeresche Text enthält.

Awer, wann dee selwechte Code (eid) all Metacharakter oder Quellcodewäert benotzt, heescht et datt de Code vum Webbrowser gezwongen gëtt fir dem Benotzer als HTTP-Äntwert ze weisen.

Am Ufank schéngt et keng grouss Schwachstelle ze sinn, well kee géif jee eng béiswëlleg URL aginn. Wéi och ëmmer, d'Stéierung fänkt un, wann en Ugräifer e béise Link erstellt, an d'Benotzer tricke fir de Link ze besichen deen an der URL verstoppt ass.

Normalerweis trickst den Ugräifer d'Benotzer duerch Social Engineering an E-Mailen an zitt d'Benotzer un fir e béiswëlleg Link ze besichen.

Soubal de Benotzer op de béise Link klickt, schéckt hien onbedéngt de béiswëllegen Inhalt vun der Webapplikatioun op säin eegene System zréck.

De Prozess fir de béisaarteg Inhalt ze reflektéieren gëtt reflektéiert XXS genannt. D'XXS Attacke verursaachen eeschte Stéierungen, déi dacks zu Tamperen a schwéieren Datepib gefouert hunn.

Zorte vu Cross-Site Scripting

  1. Gelagert / Persistent XSS

Gelagert / Persistent XSS Attack ass déi stéierendst Form vun engem XSS Attack an deem en Ugräifer e permanente Skript op der Webapplikatioun iwwerdréit. D'Benotzer falen Affer vu béiswëlleg Skripte wann all Ufro um Server gemaach gëtt.

  1. Reflexéiert XXS

Dës Aart vu Cross-Site Scripting beinhalt net direkt de Server attackéieren. Et benotzt E-Maile fir Benotzer ze tricken fir béiswëlleg Scripten am Browser auszeféieren. De Browser mengt datt et e vertrauenswürdege Skript ass an dofir reflektéiert all béisaarteg Inhalt am Browser vum Benotzer.

  1. DOM baséiert Attacken

DOM-baséiert Attacke si manner heefeg a sinn anescht op eng Manéier datt se de Server-Säit Code ni stéieren, et hänkt nëmmen op de Client-Säit Scripten.

DOM bezitt sech op den Dokumentobjektmodell deen eng Applikatiounsprogramméierungsinterface (API) fir HTML an XML Dokumenter ass. DOM-baséiert Attacke geschéien nëmme wann eng Webapplikatioun Benotzerdaten an en Dokumentobjektmodell weist.

D'Webapplikatioun liest d'Donnéeën vum Benotzer a schéckt se an de Browser. Wann d'Benotzerdaten net sécher sinn, da kann en Ugräifer einfach béiswëlleg Scripten an der DOM späicheren.

Wéi Dir d'Vulnerabilitéit vun Ärer Websäit bestëmmen

Dir kënnt einfach e Scheck op Är Websäit Schwachstelle halen duerch Web Schwachstelle Scanner wéi Nessus, Nikto, Vega, Grab, WebScarab a vill méi verfügbar.

Et ass wichteg eng Sécherheetsiwwerpréiwung vum Code virsiichteg ze maachen an all méiglech Sécherheetslächer erauszefannen, déi den Input vun enger HTTP-Ufro erlaben fir säin Zougang an den HTML-Output ze maachen.

Bedenkt datt eng Vielfalt vun HTML Tags kënne benotzt ginn fir e béiswëlleg JavaScript auszeféieren. Dofir ass et wichteg eng Websäit iwwer Web Sécherheetsscanner ze scannen.

Am Fall, wann en Deel vun der Websäit vulnérabel ass, da ginn et Chancen datt déi ganz Websäit Affer vu Schued fale kann.

Wéi verhënnert Cross-Site Scripting Attacken

  1. Entkommen Benotzer Input

Entkommen vum Benotzerinput ass eng Method fir XXS Attacken ze vermeiden. An dëser Method musst Dir sécher sinn datt d'Donnéeën, déi Är Webapplikatioun amgaang ass zréck an de Webbrowser vun de Benotzer ze schécken, sécher sinn.

WordPress a PHP enthalen Funktiounen déi automatesch d'Donnéeën desinfizéieren déi Dir ausgitt.

  1. Input Validatioun

Input Validatioun ass de Prozess an deem all Daten, déi vun enger Webapplikatioun geliwwert ginn, grëndlech iwwerpréift a verifizéiert ginn ier se zréck an de Browser vum Benotzer geschéckt ginn.

Webapplikatiounen mussen Daten iwwerpréiwen a validéieren ier se an aner Systemer aginn. Et hëlleft all béiswëlleg Link oder Programm z'entdecken, dee geduecht ass fir d'Systemer vun de Benotzer z'attackéieren.

Konklusioun

XXS Attacke sinn heefeg a kënnen d'Privatsphär vun de Benotzer stéieren, awer et ass einfach ze testen an Är Webapplikatiounen vu béiswëlleg Scripten ze verhënneren.

Webapplikatioune mussen hir Input konstant desinfizéieren ier se direkt an de Browser vum Benotzer geschéckt ginn. Och regelméisseg Webscannen hëllefen Webapplikatiounen ze fannen ob et eng Schwachstelle gëtt.

Huelt d'Kontroll vun Ärer Privatsphär haut! Spär Websäiten, Zougang zu Streaming Plattformen, a Bypass ISP Iwwerwaachung.

kréien FastestVPN
Abonnéiert Iech beim Newsletter
Kritt déi trendy Posts vun der Woch an déi lescht Ukënnegung vun FastestVPN iwwer eis E-Mail Newsletter.
icon
0 0 Stëmmen
Artikel Bewäertung

Dir kënnt Also gär

Wéi Ufro Är Donnéeë vu Facebook a Google Wéi Ufro Är Donnéeë vu Facebook a Google
Tipps fir Schutz ze bleiwen wärend Dir vun Doheem schafft Tipps fir Schutz ze bleiwen wärend Dir vun Doheem schafft
Wéi Stop Spam E-Mailen Wéi Stop Spam E-Mailen
abonnéieren
Informéiert Iech iwwer
Gaascht
0 Comments
Inline Feedback
View all Kommentaren