Cross-Site Scripting, abgekürzt als XSS, ist eine Schwachstelle, die es einem Angreifer ermöglicht, bösartigen Code (JavaScript) in ein Website-Skript einzufügen. Sobald ein Skript als anfällig erkannt wird, kann der Angreifer einen Link zu diesem Website-Skript per E-Mail versenden oder posten, um den Computer eines Benutzers anzugreifen.
Was kann ein Hacker mit Cross-Site-Scripting tun?
- JavaScript-Code ausführen.
- Greifen Sie auf Cookies zu, die auf einem Computer gespeichert sind, um Zugriff auf das Konto des Opfers zu erhalten.
- Erstellen Sie gefälschte Anmeldeseiten, die Anmeldedaten stehlen.
- Greifen Sie auf Webcams und Mikrofone zu, die an einen Computer angeschlossen sind.
- Umgehen Sie die Website-Sicherheit, die darauf ausgelegt ist, Sie und Ihren Computer zu schützen.
- Erstellen Sie ein Skript, das eine Schleife ausführt oder andere Probleme verursacht, die zum Absturz des Browsers führen.
- Helfen Sie anderen Computern, einen DDoS-Angriff auf einen anderen Server durchzuführen.
- Geben Sie das Erscheinungsbild der Website an, die unkenntlich gemacht wird.
- Helfen Sie mit, Spam zu verteilen, Geld zu überweisen oder andere Aktionen für das Konto eines Benutzers durchzuführen.
Wie Benutzer verhindern können, Opfer von Cross-Site-Scripting zu werden
- Seien Sie immer vorsichtig mit Links, die per E-Mail gesendet und in sozialen Netzwerken gepostet werden.
- Klicken Sie niemals auf einen Link, von dem gemeldet wird, dass er von einer Finanzdienstleistungs- oder anderen sensiblen Website stammt. Wenn Ihre Bank, Kreditkarte oder ein verwandter Dienst Sie auffordert, auf einen Link zu klicken, öffnen Sie Ihren Browser und geben Sie die Webadresse in die Adressleiste ein.
- Machen Sie sich mit Phishing-Taktiken vertraut.
- Wenn Sie mit Ihrem Online-Konto fertig sind, melden Sie sich ab.
- Halten Sie Ihren Browser mit der neuesten Version auf dem neuesten Stand.
- Lesen Sie: So schützen Sie sich im Internet.
Wie Webmaster die Bedrohung durch Cross-Site-Scripting verringern können
- Gehen Sie immer davon aus, dass alle an ein Skript übermittelten Daten bösartig sind.
- Codieren, maskieren und bereinigen Sie die übermittelten Daten ordnungsgemäß.
- Maskieren Sie ein Anführungszeichen (“) mit " und ein einfaches Anführungszeichen (‘) mit ', um ein Escapezeichen zu verhindern.
- Akzeptieren Sie nur Daten, die Sie benötigen. Wenn ein Feld beispielsweise für einen Namen bestimmt ist, akzeptieren Sie nur die Buchstaben A bis Z und entfernen Sie alle Zahlen und andere Zeichen.
- Akzeptieren und führen Sie niemals JavaScript-Code aus einer nicht vertrauenswürdigen Quelle aus.
- Platzieren Sie niemals akzeptierte Daten in einem
