Cross-Site-Scripting (XSS) ist eine der häufigsten Angriffsverfahren im Web, da viele Seiten Sicherheitslücken besitzen, die mit dieser Methode genutzt werden, um bösartigen und schadhaften Code, meist in Form von clientseitigen Scriptsprachen (JavaScript), in die Website einzuschleusen. Dabei gibt es verschiedene Varianten.
Einerseits passiert Cross-Site-Scripting seitenübergreifend, wobei andere Server genutzt werden, die denn Schadhaften Code ausführen. Diese Variante wird häufig im Zusammenhang mit Phishing-Verfahren verwendet um an persönliche Daten der Nutzer zu kommen. Der Angreifer manipuliert Teile einer Website oder verschickt Emails die vertrauenswürdig erscheinen. Dort platziert er einen vertrauenswürdigen Hyperlink, der den Nutzer auf eine bösartige Seite weiterleitet.
Eine andere Methode von XSS ist das Einschleusen von Codefragmenten direkt auf dem Server des Betreibers. Dabei werden Sicherheitslücken auf der Seite genutzt. Ein Beispiel hierbei ist das Einschleusen von Code in eine Datenbank durch einen Gästebucheintrag. Jeder Nutzer der das Gästebuch öffnet und denn Eintrag mit dem schadhaften Code angezeigt bekommt, führt im Hintergrund diesen Code aus. Mit dieser Variante lassen sich Cookies, die teilweise Informationen zu Sessions oder Benutzerkonten beinhalten, auslesen.
SemperVideo erklärt es ganz gut in seinem Video.
Bekannte Beispiel für Cross-Site-Scripting
| 2006 | PayPal |
Das Unternehmen PayPal wurde im Sommer 2006 Opfer einer Pfishing-Attacke. Dieser Angriff wurde mit Hilfe von XSS ausgelöst. Nutzern des Dienstes wurde eine gefälschte E-Mail zugesannt, in der auf ein deaktiviertes Konto hingewiesen wurde. Ein Link zur Seite von PayPal sollte diese Deaktivierung wieder rückgängig machen. Der Link führte allerdings auf eine real existierende, geschützte Seite der Firma PayPal. Auf dieser Seite wurde allerdings JavaScript-Code platziert, der den Nutzer auf den Server der Angreifer weiterleitete. Hier wurden durch eine gefälschte Oberfläche persönliche Daten, wie Benutzername, Passwort und Kreditkartennummer, abverlangt.
Quelle: heise.de |
| 2009 |
Zu Ostern wurde durch eine Sicherheitslücke im Microblogging-Dienst Twitter ein XSS-Wurm eingeschleust. Dieser Wurm wurde anhand von JavaScript-Code in einem Profil abgelegt. Betraten andere Nutzer dieses Profil, wartete das Script drei Sekunden bevor es den Nutzernamen und das Twitter-Cookie vom Browser ausgelesen hat. Mit diesen Daten verschickte der Wurm im Namen des infizierten Nutzers Nachrichten an weitere Mitglieder des Diensts, um diese ebenfalls anzustecken. In der Nachricht befand sich ein Link zum einem Konkurrenz-Dienst, der vom Entwickler des Wurms betrieben wurde.
Quelle: heise.de |
Keine ähnlichen Artikel.
RSS
SEO Blog sagt:
Ich bin neu in diesem Thema, könntet ihr mir das genauer erklären?
geld verdienen sagt:
Sch̦ner Artikel Рwirklich eine Freude zu lesen. Macht weiter so und schreibt so inspirierende Inhalte!
freundin zurueck gewinnen sagt:
Hey alle Achtung! Toller Content – macht Spaß hier zu lesen!