Cross-Site-Skripting

Diese Attacke zielt mehr auf die Client-Seite bei der Benutzung der Webseite. Cross-Site-Attacken können durchgeführt werden, wenn es dem Benutzer der Webseite möglich ist, durch ein Sicherheitsloch HTML-Code in die Webseite einzubauen, welcher dann später anderen Benutzern auf der Webseite präsentiert wird. Durch den eingeschleusten HTML-Code erzeugt der Angreifer beispielsweise ein Login-Formular. Als Formularempfängeradresse gibt er jedoch nicht den Originalserver an, sondern sendet die Formulareingaben an seinen eigenen Server. Der Benutzer gibt nun seine Logindaten in dieses Formular ein. Damit schickt er seinen Benutzernamen und Passwort an den Angreifer und dieser kann seinen Benutzeraccount missbrauchen. Wird dieser Angriff geschickt gestaltet, merken dies die Opfer sogar noch nicht einmal und Fremdnutzer können über Monate hinweg Schaden anrichten.

Auch das Einfügen von JavaScript-Code durch einen Angreifer ist besonders gefährlich. Durch JavaScript können sämtliche Nutzeraktionen mitgeschnitten werden. Der Angreifer hat die komplette Kontrolle über den Browser des Benutzers und kann sämtliche Daten auslesen oder auch die Interaktion des Benutzers mit der Webseite verändern. In einer Banking-Applikation wäre es beispielsweise möglich, dass er im Hintergrund den Empfänger einer jeden Überweisung ändert, so dass das versandte Geld nicht auf das gewünschte Zielkonto gebucht, sondern auf das Konto des Angreifers.

Attacken dieses Typs werden auch Cross-Site Request Forgeries genannt. Begegnen kann man diesen Attacken, indem die Eingaben aus HTML-Formularen und sonstige Eingaben rigoros filtert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert