XSS – Cross-Site Scripting

Was ist Cross-Site Scripting (XSS)?

Cross-Site Scripting (XSS) ist eine Art von Sicherheitslücke in Webanwendungen, bei der Angreifer bösartigen Code, meist JavaScript, in Webseiten einschleusen, die von anderen Benutzern aufgerufen werden. XSS-Angriffe zielen darauf ab, Daten zu stehlen, Benutzer zu täuschen oder sogar die Kontrolle über die Sitzung eines Benutzers zu übernehmen. Die Schwachstelle entsteht in der Regel dadurch, dass eine Webanwendung Benutzereingaben nicht richtig validiert oder bereinigt, bevor sie an den Browser gesendet werden.

Welche Arten von XSS gibt es?

Es gibt drei Haupttypen von XSS-Angriffen:

  • Reflektiertes XSS: Der bösartige Code wird als Teil einer URL übergeben und direkt von der Website zurück an den Browser des Opfers gesendet. Der Angriff wird nur bei einem gezielten Besuch der präparierten URL ausgeführt.
  • Persistentes (gespeichertes) XSS: Der bösartige Code wird dauerhaft auf dem Server gespeichert, etwa in einer Datenbank, und bei jedem Aufruf der betroffenen Seite an alle Benutzer ausgeliefert. Dies ist besonders gefährlich, da jeder Benutzer, der die Seite besucht, betroffen sein kann.
  • DOM-basiertes XSS: Hier wird der bösartige Code innerhalb des Browser-DOM ausgeführt, ohne dass der Server direkt beteiligt ist. Der Angriff erfolgt vollständig auf der Client-Seite durch die Manipulation von Inhalten im Browser.

Wie funktioniert ein XSS-Angriff?

Bei einem XSS-Angriff schleust der Angreifer JavaScript-Code oder andere ausführbare Skripte in eine Website ein. Diese Skripte können dann in den Browsern von ahnungslosen Benutzern ausgeführt werden. Der Angreifer nutzt in der Regel Schwachstellen in den Eingabefeldern oder in der Art und Weise aus, wie Webseiten Benutzereingaben verarbeiten. Ein typischer Ablauf eines reflektierten XSS-Angriffs könnte so aussehen:

  1. Ein Benutzer klickt auf einen präparierten Link, der bösartigen Code enthält.
  2. Die Webanwendung nimmt diesen Link entgegen, führt keine ausreichende Validierung durch und gibt den Code in einer Antwortseite wieder.
  3. Der Browser des Benutzers führt den bösartigen Code aus, als wäre er legitimer Teil der Webseite.

Welche Auswirkungen kann ein XSS-Angriff haben?

Die Auswirkungen von XSS-Angriffen können gravierend sein und hängen von den Fähigkeiten des Angreifers ab. Typische Folgen sind:

  • Datendiebstahl: Angreifer können auf Cookies zugreifen und damit z. B. Sitzungstoken stehlen, um sich als der betroffene Benutzer auszugeben (Session Hijacking).
  • Phishing: Die bösartige Webseite kann Inhalte so manipulieren, dass sie legitime Formulare und Eingabefelder vortäuscht, um vertrauliche Daten wie Passwörter zu sammeln.
  • Defacement: Angreifer können den Inhalt der Webseite manipulieren und z. B. falsche Nachrichten oder Inhalte anzeigen.
  • Malware-Verteilung: Angreifer können durch XSS Code einfügen, der Benutzer auf schädliche Webseiten weiterleitet oder Malware herunterlädt.

Wie erkennt man eine XSS-Schwachstelle?

XSS-Schwachstellen können durch verschiedene Methoden erkannt werden:

  • Manuelles Testen: Sicherheitsforscher versuchen, Benutzereingaben direkt in verschiedenen Feldern (z. B. Suchfelder, Kontaktformulare) der Webanwendung einzuschleusen, um zu sehen, ob diese ungefiltert zurück an den Browser gesendet werden.
  • Automatisierte Scans: Tools wie OWASP ZAP oder Burp Suite führen automatisierte Tests durch, um potenziell anfällige Eingabefelder zu identifizieren.
  • Code-Reviews: Bei der Durchsicht des Quellcodes können Schwachstellen sichtbar werden, insbesondere an Stellen, wo Benutzereingaben direkt in HTML oder JavaScript ausgegeben werden, ohne vorherige Bereinigung.

Wie kann man sich vor XSS-Angriffen schützen?

Die Vermeidung von XSS-Angriffen erfordert mehrere Maßnahmen:

  • Eingaben validieren und escapen: Sämtliche Benutzereingaben sollten sowohl auf der Client- als auch auf der Server-Seite validiert und escapen werden, bevor sie ausgegeben werden. Das Escaping von HTML und JavaScript verhindert, dass eingebetteter Code ausgeführt wird.
  • Content Security Policy (CSP): Eine gut konfigurierte CSP hilft, das Ausführen von nicht vertrauenswürdigem JavaScript zu verhindern, indem die erlaubten Quellen für JavaScript explizit definiert werden.
  • Sichere APIs verwenden: APIs wie innerHTML sollten vermieden werden, wenn es Alternativen wie textContent oder setAttribute gibt, die keine Code-Ausführung ermöglichen.
  • Output Encoding: Verwenden von Bibliotheken wie OWASP Java Encoder oder ESAPI, die sicherstellen, dass Benutzereingaben korrekt entschärft werden.
  • Verwendung von HTTPOnly und Secure Cookies: Dies schützt Cookies vor JavaScript-Zugriff und verhindert das Auslesen sensibler Informationen durch XSS-Angriffe.

Wie unterscheidet sich reflektiertes XSS von persistentem XSS?

Reflektiertes XSS unterscheidet sich von persistentem XSS in der Art und Weise, wie der bösartige Code zur Ausführung kommt:

  • Reflektiertes XSS: Der bösartige Code wird direkt über eine URL an den Browser des Opfers gesendet. Dies erfordert in der Regel eine Benutzerinteraktion, z. B. das Anklicken eines präparierten Links.
  • Persistentes XSS: Der bösartige Code wird auf dem Server gespeichert (z. B. in einer Datenbank) und automatisch an alle Benutzer ausgeliefert, die eine bestimmte Seite aufrufen. Dies macht persistentes XSS gefährlicher, da es mehrere Benutzer ohne deren aktive Interaktion betrifft.

Welche Tools werden zur Prävention von XSS verwendet?

Verschiedene Tools helfen dabei, XSS-Schwachstellen zu erkennen und zu verhindern:

  • OWASP ZAP: Ein Open-Source-Webanwendungsscanner, der Schwachstellen, einschließlich XSS, identifizieren kann.
  • Burp Suite: Ein umfangreiches Toolset zur Analyse und Schwachstellenprüfung von Webanwendungen.
  • Content Security Policy (CSP): Ein serverseitiges Werkzeug, das die Ausführung von bösartigen Skripten einschränken kann.
  • SAST (Static Application Security Testing) Tools: Diese Tools überprüfen den Quellcode einer Anwendung auf Sicherheitslücken, einschließlich XSS.

Wie erkennt ein Nutzer, ob eine Website anfällig für XSS ist?

Nutzer, die Sicherheitsüberprüfungen vornehmen, können auf verschiedene Weise feststellen, ob eine Website anfällig für XSS ist:

  • Ungewöhnliches Verhalten: Unerwartete Pop-ups oder Weiterleitungen können auf einen XSS-Angriff hinweisen.
  • Benutzereingaben reflektiert: Wenn Benutzereingaben (z. B. Suchbegriffe) ungefiltert auf der Webseite zurückgegeben werden, ist dies ein potenzielles Anzeichen.
  • Testskripte verwenden: Eine manuelle Eingabe von typischen XSS-Testskripten wie "<script>alert('XSS')</script>" in Formularen oder URLs kann Schwachstellen aufdecken.

Welche Programmiersprachen oder Frameworks sind besonders anfällig für XSS?

Prinzipiell kann jede Webanwendung anfällig für XSS sein, unabhängig von der verwendeten Programmiersprache. Allerdings gibt es einige Sprachen und Frameworks, bei denen die Wahrscheinlichkeit höher ist, dass XSS-Schwachstellen eingebaut werden:

  • PHP: Häufig anfällig, insbesondere ältere oder schlecht gewartete Anwendungen, da PHP oft direkte Benutzereingaben verarbeitet.
  • JavaScript/Node.js: Da JavaScript selbst oft das Ziel von XSS ist, müssen Entwickler besonders auf die korrekte Handhabung von Benutzereingaben achten.
  • Frameworks wie Angular oder React: Moderne Frameworks bieten zwar standardmäßigen Schutz (z. B. durch automatisches Escaping), aber auch hier können Sicherheitslücken entstehen, wenn diese Mechanismen bewusst umgangen werden.

Gibt es bekannte Beispiele von XSS-Angriffen in der Vergangenheit?

Ja, es gibt viele dokumentierte Fälle von XSS-Angriffen. Ein bekanntes Beispiel ist ein Angriff auf Twitter im Jahr 2010. Ein bösartiges Skript verbreitete sich rasend schnell über Tweets, indem es Benutzer zwang, den bösartigen Code automatisch weiter zu verbreiten. Innerhalb von Minuten waren Tausende von Konten betroffen. Ein weiteres Beispiel ist der Samy-Wurm von 2005, der MySpace betraf und sich auf ähnliche Weise viral verbreitete.

Was ist eine Content Security Policy (CSP) und wie hilft sie bei der XSS-Prävention?

Eine Content Security Policy (CSP) ist eine Sicherheitsfunktion, die Webanwendungen erlaubt, zu kontrollieren, von welchen Quellen Skripte, Stylesheets und andere Ressourcen geladen werden dürfen. Durch die Definition einer CSP können Entwickler festlegen, welche Skripte ausgeführt werden dürfen, was dazu beiträgt, die Auswirkungen von XSS-Angriffen zu minimieren. Selbst wenn es einem Angreifer gelingt, bösartigen Code in eine Website einzuschleusen, verhindert eine korrekt konfigurierte CSP, dass dieser Code ausgeführt wird.

Zurück zur Übersicht des Glossars

Zurück zur Übersicht des Glossars
AlleGrundlagen der Cybersicherheit

Grundlagen der Cybersicherheit

CYBER DEFENSE.

MADE IN GERMANY.

Startseite » XSS – Cross-Site Scripting
Unser Portfolio
Über SECUINFRA

©2025 SECUINFRA GmbH. Alle Rechte vorbehalten.

Cookie Consent mit Real Cookie Banner