Was ist Cross-Site Scripting (XSS)?
Cross-Site Scripting (XSS) ist ein Code-Injektionsangriff, bei dem der Akteur schädlichen Code in eine legitime Website injiziert. Der Code startet anschließend ein infiziertes Skript im Webbrowser des Benutzers, mit dem der Angreifer vertrauliche Daten stehlen oder die Identität des Benutzers annehmen kann.
Webforen, Pinnwände, Blogs und sonstige Websites, auf denen Benutzer eigene Inhalte posten können, sind für XSS-Angriffe besonders anfällig. Sofern die Eingabe von der Web-Anwendung nicht überprüft, verifiziert und verschlüsselt wird, wird jedes im Code enthaltene Schadskript automatisch vom Browser des Benutzers ausgeführt. Das Skript kann anschließend auf die Cookies, Sitzungstoken und anderen sensiblen Daten des Benutzers zugreifen, die vom Browser gespeichert und auf der betreffenden Website verwendet werden. Bei sehr raffinierten Angriffen können solche Skripts den Inhalt der infizierten Webseite sogar manipulieren.
Aufgrund ihrer Möglichkeiten zum Umgehen von Schutzmechanismen sind dateilose und skriptbasierte Angriffe wie XSS seit einigen Jahren auf dem Vormarsch. Die Angriffe können mühelos herkömmliche Virenschutzlösungen und Firewalls unterlaufen, was ihre Ausführung relativ einfach macht. Unternehmen sollten XSS-Erkennung und -Prävention in ihre allgemeine Cybersicherheitsstrategie aufnehmen, um die Besucher ihrer Website zu schützen und das Risiko von Rufschäden zu reduzieren.