Wir benutzen Cookies um Inhalte und Werbung zu personalisieren und die Seitennutzung zu analysieren. Wir teilen diese Informationen über google adsense mit unseren Werbepartnern.
logo mit Text lexexakt.de Werbung:
Artikel Diskussion (0)
Cross Site Scripting (XSS) u. Cross Frame Scripting
(it.angriff)
    

Das XSS ist ein Angriff auf Client-Rechner (z.B. den privaten Rechner eines Surfers) der unter Beteiligung eines vorstzlich manipulierten Links eines Angreifers und eines fahrlssig "falsch" konfigurierten CGI-Skripts auf dem Web-Server eines unwissenden Dritten zum Aussphen von Cookies fhrt.

Beim XSS klickt der User zunchst den manipulierten Link (den er z.B. durch eine eMail erhalten hat). Dadurch wird dem CGI-Skript auf der Seite des Dritten ein mit Javascript prpariertes Datenpaket bergeben. Das falsch konfigurierte CGI-Skript verabeitet die bergebenen Daten und gibt sie anschlieend ungefiltert, d.h. gemeinsam mit dem Javascript auf einer Antwortseite wieder aus.

Beispiel: Die Suchmaschine Overture akzeptiert Daten in der URL die sie als Grundlage zur Suche verwendet. Am Ende der Suche gibt sie das Suchergebnis und die Suchdaten (inkl. javaskript) wieder aus.

Dadurch wird es der Angreifer mglich in die Webseite des Dritten eigenes Javascript einzuschleussen (sog. Code-Injektion). Der so eingebaute Javascript-Code gilt als Code des fahrlssig falsch konfigurierten Web-Servers.

Handelt es sich bei diesem Server um den Server einer dem User bekannten Web-Site, so vertraut er dem Javascript-Code, obwohl dieser von einem Angreifer kommt. Auf Basis dieses Vertrauens kann das Javaskript dann persnliche Daten (z.b. Passwrter) abfragen.

Weiterhin kann der fremde Code beim User Cookies auslesen, die grundstzlich nur die absendende Web-Site, hier die mit dem Fehler in der CGI-Konfiguration, wieder abrufen kann. Enthalten diese Cookies Account-Daten, wie z.B. Username und Passwort, kann das Javascript versuchen diese wiederum an den manipulierenden Server zurcksenden, wo sie dann als Grundlage fr weiteren Mibrauch dienen knnen.

Kommen dann noch Sicherheitslcken im Browser des Users dazu, wie z.B. eine Fehler im IE der es erlaubt das Javascript-Code nderungen in fremden Frames vornehmen kann (= Cross Frame Scripting), oder ein Fehler der einen Zugriff lokale Dateien des Users ermglicht, so kann ein XSS-Angriff zu einer erheblichen Gefahr fr den User werden.

Zu der Frage von Lchern im IE siehe unter Heise Security.

Auf diesen Artikel verweisen: Code-Injektion * Phishing/Phishing-eMails * XSS