Was ist Cross-Site Scripting und wie kann ich mich davor schützen?
Veröffentlicht am 02.09.2020 von DomainFactory
Cross Site Scripting (XSS) ist die häufigste Angriffsmethode im Internet. Angreifer benötigen hierfür keine großartigen Programmierkenntnisse, sondern laden sich lediglich einen kurzen Beispielcode herunter. Dieser wird als Blogkommentar oder Foreneintrag veröffentlicht und soll dem Angreifer Zugriff auf weitere Daten auf dem Server ermöglichen. Wie das genau aussieht und was Sie dagegen tun können, lesen Sie hier.Das Wichtigste in Kürze:
- XSS-Angriffe bleiben durch ihr verdecktes Wirken oft lange unbemerkt.
- Blogs und Foren werden besonders häufig gekapert.
- Sie können sich und Ihren Server durch einfache Methoden schützen. Umgehen Sie beispielsweise Mails von unbekannten Absendern und kontrollieren Sie als Webseitenbetreiber strikt Ihre Kommentarfunktion.
Was kann durch Cross-Site Scripting passieren?
Ein häufiger Bestandteil eines XSS-Angriffs ist das Abgreifen von Logindaten. So können Angreifer beispielsweise Zugriff auf Ihr E-Mail-Postfach oder Ihr Bankkonto erhalten. Die Daten werden dann für illegale Handlungen genutzt.
Ein weiterer Grund ist, dass Ihr Computer Teil eines Botnets werden soll. In diesem Fall werden viele Computer vom Angreifer zusammengeschaltet, um einen oder mehrere Server durch eine gezielte DDoS-Attacke außer Gefecht zu setzen.
Sicherheitslücken im Server erleichtern Cross-Site Scripting
Sicherheitslücken am Server sind der häufigste Grund für Angriffe per Cross-Site Scripting. Experten sind dauerhaft damit beschäftigt, solche Lücken zu finden und auf sie aufmerksam zu machen. Dies zieht wiederum Angreifer an, die die Webseite kapern möchten.
Für einen Angriff muss eine Möglichkeit bestehen, mit Ihrem Computer oder Ihrer Webseite zu interagieren, um den Code einzuschleusen. Am häufigsten geschieht das über ein Kommentarfeld in einem Blog oder ein Beitragsfeld in einem Forum. Wird in diesem Kommentar oder Foreneintrag entsprechender Schadcode eingefügt, wird ein Script gestartet, das für die Übermittlung weiterer Daten sorgt oder ein Hintertürchen für den Angreifer öffnet.
Verschiedene Arten des Cross-Site Scripting
Das sind die drei häufigsten Arten des Cross-Site Scripting:
Lokales XSS | Die älteste und erfolgreichste Methode des Cross-Site Scripting😀er Besucher klickt auf einen Link, der ihn auf eine präparierte Webseite leitet. Über den Zugriff wird der Schadcode in den Browser des Besuchers geladen und das Script ausgeführt. Den Link erhält der Besucher meist per E-Mail. Aktuelle E-Mail-Programme und Sicherheitssoftware filtern einen Großteil dieser Angriffe heraus, allerdings klicken viele Nutzer noch immer auf Links von unbekannten Absendern. Dadurch werden wichtige Sicherheitsmechanismen umgangen. |
Persistentes XSS | Hierfür ist eine Sicherheitslücke am Server erforderlich. Der Angreifer manipuliert einen Link in der Datenbank, welcher anschließend dauerhaft (persistent) gespeichert wird. Diese Manipulation ist kaum ersichtlich, allerdings werden Besucher durch den neuen Datenbank-Eintrag auf andere Webseiten umgeleitet. Diese gleichen häufig den ursprünglichen Seiten. So sollen Login-Daten der Nutzer ausgespäht werden. |
Reflektiertes XSS | Der Nutzer ruft eine manipulierte URL auf. Der Server akzeptiert diese schadhafte URL, da der genaue Inhalt nicht geprüft wird. Daraufhin wird eine dynamische Webseite erzeugt, die der ursprünglich erwarteten Seite sehr ähnelt. Im Gegensatz zum persistenten XSS wird hier jedoch keine Datenbank manipuliertund auch keine statische Webseite erschaffen. |
Wie schütze ich mich gegen Cross-Site Scripting?
Um sich sinnvoll vor XSS-Angriffen zu schützen, stehen Ihnen verschiedene Möglichkeiten zur Verfügung:
Sicherheitsvorkehrungen nutzen statt umgehen
- Klicken Sie nicht leichtfertig auf verlockend klingende Links wie Gewinnspiele oder ominöse Sicherheitsabfragen. E-Mail-Programme, Browser und Sicherheitssoftware arbeiten Hand in Hand, um Sie zu schützen.
- Wenn Sie Links erhalten, prüfen Sie zunächst die Quelle. Kommt Ihnen der Absender nicht bekannt vor, blockieren Sie die E-Mail.
- Nutzen Sie Browser-Plugins um Scripte wie JavaScript zu blockieren.
💡 Gut zu wissen: Offizielle Dokumente kommen in Deutschland höchst selten per E-Mail. Hat beispielsweise Ihre Bank Probleme mit der Anmeldung, werden Sie telefonisch oder per Post kontaktiert.
Was kann ich als Webseitenbetreiber gegen Cross-Site Scripting tun?
Prinzipiell ist es einfach, Ihre Webseite zu schützen. Allerdings erfordern diese Vorgehensweisen Ihre Aufmerksamkeit und sollten nicht ins Hintertreffen geraten.
Nur notwendige Kommentarfunktionen aktivieren
Wenn Sie einen Blog betreiben, sollten Sie das Einfügen einer Kommentarfunktion abwägen. Sie vereinfacht zwar die Interaktion und belebt Ihre Webseite, birgt jedoch auch ein gewisses Risiko.
URLs und Code automatisch entfernen
Für WordPress, Joomla und Co. gelten ohnehin bestimmte Sicherheitsvorkehrungen, um XSS-Kommentare zu erschweren. Zusätzliche Plugins helfen Ihnen, diese Attacken weitgehend zu unterbinden. Die meisten Plugins entfernen URLs und sonstigen ausführbaren Code aus den Kommentaren und hinterlassen einen Hinweis, dass dieser entfernt wurde. Wenn Ihre Webseite nicht zu umfangreich ist, können Sie auch die Moderation von Kommentaren aktivieren und diese dann per Hand auswerten.
Software immer aktualisieren
Sämtliche Software sollte stets auf dem aktuellen Stand sein. Das fängt bei Ihrem Betriebssystem und der Anwendersoftware an und endet bei der Server-Software. Für den Produktiveinsatz gedachte Software ist oft als „stable branch“ gekennzeichnet. Beta-Software lockt zwar mit neuen Funktionen und oft auch schönerem Design, allerdings werden vorerst lediglich Funktionen hinzugefügt und Probleme erst anschließend behoben. So können Sicherheitslücken zunächst unbemerkt ihr Dasein fristen.
❗ Hinweis: Es wird empfohlen, Beta-Software vorerst nur in einer abgeschlossenen Umgebung ohne Internetzugang zu testen, um externe Zugriffe zu vermeiden.
Ihre Empfehlung ist uns 50 € wert
Empfehlen Sie die DomainFactory Ihren Freunden, Bekannten oder Kollegen und erhalten Sie 25 € Prämie für Sie und 25 € Prämie für den Geworbenen. Jede erfolgreiche Empfehlung zählt! Richten Sie gleich Ihr Prämienkonto ein