Cross-site Scripting (XSS)
Ein Cross-site Scripting (XSS) Angriff ist ein Angriff, bei dem ein Angreifer in der Lage ist, eine Zielseite dazu zu bringen, bösartigen Code auszuführen, als ob er Teil der Website wäre. Der Code kann dann alles tun, was auch der eigene Code der Seite tun kann. Beispielsweise könnte der Angreifer:
- Auf den gesamten Inhalt der geladenen Seiten der Website und jeglichen Inhalt im lokalen Speicher zugreifen und diesen ändern
- HTTP-Anfragen mit den Anmeldedaten des Benutzers stellen, um den Benutzer zu imitieren oder auf sensible Daten zuzugreifen
Alle XSS-Angriffe hängen davon ab, dass eine Website zwei Dinge tut:
- Eingaben akzeptiert, die von einem Angreifer manipuliert worden sein könnten
- Diese Eingaben in eine Seite einfügt, ohne sie zu bereinigen: das heißt, ohne sicherzustellen, dass sie nicht als JavaScript ausführbar sind