CyberCompare

Cross-Site Scripting: Angriff über den eigenen Browser

Früher oder später werden die meisten Webseiten gehackt werden – falls sie es nicht schon wurden.

Wie könnte das passieren? Zum Beispiel über Cross-Site Scripting (XSS).

Hinter dem Begriff verbirgt sich eine Vielzahl von Angriffsmethoden über Web-Anwendungen, es geht also um Website Security und betrifft damit jedes Unternehmen oder auch Einzelpersonen, die Internetseiten betreiben.

XSS bedeutet, dass Schadcode auf einer Webseite durch den Browser des Nutzers ausgeführt wird.

Dieser Schadcode wird typischerweise in JavaScript oder einer anderen Skriptsprache programmiert, die vom Browser ausgeführt (interpretiert) werden kann. Zu diesen Skriptsprachen gehören auch ActiveX, Flash oder dynamisches HTML.

Ein typisches Beispiel wäre ein Diskussionsforum, Blog oder Onlineshop mit Bewertungsfunktion. Der Angreifer schreibt in ein Kommentarfeld den Schadcode, der dann von den Browsern anderer Nutzer ausgeführt wird, sobald diese seinen Kommentar aufrufen. Andere Möglichkeiten sind Suchfelder oder Formulare, in denen Angreifer statt normalen Eingaben eben Programm-Code „injizieren“ können.

Als Nutzer sehen wir dann also auf eine Webseite, der wir eigentlich vertrauen, und geben dort auch ggf. unsere Daten (wie Passwörter, Kreditkartennummern oder Informationen auf Cookies) ein. Die Webseite wurde aber verändert, ohne dass der Betreiber dies wollte oder wahrnimmt. Und jetzt wandern unsere Daten ab, oder die Seite leitet uns automatisch auf andere Inhalte um.

XSS wurde vor ungefähr 20 Jahren zum ersten Mal eingesetzt (wahrscheinlich durch Microsoft-Entwickler).

Inzwischen gibt es eine Vielzahl von Sicherheitsvorkehrungen, die XSS in den meisten Fällen auch erfolgreich verhindern. Zu diesen gehört u.a.:

  • Validierung und Filtermethoden zu möglichen Eingaben durch Nutzer (bei der Webseitenprogrammierung zu berücksichtigen, am besten über einen White-Listing-Ansatz)
  • Moderne Browser, die Skript-Code nicht mehr automatisch interpretieren, sondern im Regelfall mit Sonderzeichen anzeigen („Encoding“)
  • Warnung vor der Ausführung, oder die eingeschränkte Ausführung von Skript-Code im Browser (Security Headers, Content Security Policies)

Trotzdem gehört XSS noch immer zu den häufigsten Angriffen

Noch heute zählt Cross-Site Scripting zu den TOP10 der größten Risiken von Web-Anwendungen (OWASP Top Ten Web Application Security Risks | OWASP).

Und tatsächlich treffen wir jeden Tag auf Unternehmen im Internet, die noch immer nicht auf https umgestiegen sind, also selbst die Grundlagen einer sicheren Kommunikation über das Web fehlen.

Auch WordPress-PlugIns werden häufig ausgenutzt. WordPress wird Schätzungen nach von ca. 40% aller Webseiten verwendet (WordPress Marktanteile Statistiken (2011- 2021) – Kinsta) – die meisten WordPress-Seiten nutzen aber natürlich keine PlugIns oder nur sichere PlugIns.

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.