Cross-Site-Scripting gehört zu den zehn größten Bedrohungen bei der Ausführung von Web-Anwendungen. Angreifer schleusen schädliche Codes in die Skripte von scheinbar vertrauenswürdigen Seiten. Zu unterscheiden sind drei Typen von Cross-Site-Scripting.
Cross-Site-Scripting (XSS) ist ein Begriff aus dem Bereich der IT-Security. Er beschreibt eine Angriffsstrategie, die das Open Web Application Security Project (Projekt zur Sicherheit von Anwendungen im offenen Netz – OWASP) zu den Top 10 der kritischsten Bedrohungen zählt, die es für Nutzer beim Besuch von Internetseiten gibt. Kriminelle schleusen Schadcode in eines oder mehrere der Skripte, welche der Netzauftritt ausführt. Dies kann über den Server oder den Klienten (das vom Anwender genutzte Gerät) geschehen.
Seinen Namen verdankt das Cross-Site-Scripting dem Umstand, dass das Scripting webseitenübergreifend passiert. Damit dies funktioniert, nutzen die Angreifer bestehende Sicherheitslücken aus.
Die drei Arten von Cross-Site-Scripting
1. persistentes XSS: Die Infektion findet auf dem Server statt und bleibt dauerhaft. Sie geschieht durch das Aufrufen eines manipulierten Links. Der Schadcode nistet sich in der Serverdatenbank ein und greift beständig alle Besucher des fraglichen Portals an.
2. reflektiertes XSS: Die Infektion findet auch in diesem Fall serverseitig statt. Über diesen wird eine präparierte Webseite oder Anwendung eingespeichert. Rufen Nutzer diese auf, spät der Code sie aus.
3. lokales XSS: Die Infektion geschieht auf der Seite des Klienten. Der Nutzer klickt beispielsweise auf einen infizierten Link. Der Schadcode nistet sich anschließend unbemerkt im Browser ein und verbleibt hier.
Mögliche Angriffsziele
Das Cross-Site-Scripting zielt in der Regel auf eines oder mehrere der folgenden Dinge ab:
Login-Informationen
Veränderung von Webseiten (für die weitere Verbreitung)
Ausspähung vertraulicher Informationen
Übernahme von Browsern.
Schutzmaßnahmen gegen Cross-Site-Scripting
Effektiv hilft gegen Cross-Site-Scripting nur, dem eigenen Browser zu untersagen, Skripte jeder Art auszuführen. Dies kann die Funktionalität von Webanwendungen jedoch merklich beeinträchtigen. Keinesfalls sollten Nutzer auf Links unbekannter oder nicht seriös anmutender Herkunft klicken.
(ID:49228275)
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/77/cd/77cd250ce7af2f3282a8769b909e99b2/0110433407.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/7f/8b7f6bf64cfa5ce5abd2b2cd45abe596/0110389625.jpeg "„Wir brauchen eine bildungspolitische Trendwende, die das Auftstiegsversprechen erneuert" – aus dem Thesenpapier „Chance Bildung“ zum Bildungsgipfel am 14./15. März 2023 (©BMBF/Hans-Joachim Rickel)")
:quality(80)/p7i.vogel.de/wcms/7b/bd/7bbd395c60b08714e084d477eee25852/0110411988.jpeg "(© Kaspars Grinvalds – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/0a/030a5d6d68a07f27d002a852bf1928c0/0110375178.jpeg "Die didacta 2023 fand vom 7.-11. März in Stuttgart statt (©Landesmesse Stuttgart GmbH)")
:quality(80)/p7i.vogel.de/wcms/c7/5a/c75a353e25b87e8e2a06135f515f1a11/0110379166.jpeg "Die Kommunen erhalten mehr Unterstützung von der Landesregierung (© Jirsak, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/0c/f4/0cf4f547697d2e2a624af24c85bf80ea/0110340115.jpeg "Mitarbeiterbeteiligung fördert die Projektakzeptanz (© Philip Steury - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/a1/9fa10b36f1163491de23dd972244ba13/0110334107.jpeg "Der neue Mainzer Rechner kann pro Sekunde rund 2,8 Billiarden Rechenoperationen ausführen – eine Billion hat 15 Nullen (© AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/be/79/be79a2bad2f034ee7901c425f24e1f30/98320958.jpeg "Die Optimierung von Verwaltungsprozessen muss auch die Wünsche der Bürger berücksichtigen (© kamonrat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/6b/806ba8bc1383da483b0bfcd09e9d2388/0110077364.jpeg "Die Gewinner der Plätze eins bis drei erwartet ein stolzes Preisgeld (© Inna Dodor Getty Images via Canva)")
:quality(80)/p7i.vogel.de/wcms/74/28/742809333bb073f39b9e1944ab9b5c69/0110074652.jpeg "Ziel des Digitaltags ist es, die digitale Teilhabe in Deutschland zu fördern; der Preis soll Projekte und Initiativen, die das unterstützen, würdigen (© kate_sept2004 – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/9b/fd/9bfd8f7c1697dacaf68f10ae55b005d4/0110096318.jpeg "Ann Cathrin Riedel ist seit 1. März 2023 Geschäftsführerin von NExT e. V. und Leiterin der Geschäftsstelle in Berlin (©Paul Alexander Probst)")
:quality(80)/p7i.vogel.de/wcms/3a/30/3a3058c92aeaf607cb352696a06b72ad/0110062909.jpeg "Die Orchestrierung standardisierter Container auf Basis von Kubernetes ist einer der Kompetenzbereiche des Cloud-native-Spezialisten SysEleven, den secunet im Jahr 2022 an Bord geholt hat (© Pawinee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/a2/b2a2ace18627cbfc2b0aa18c17e9051c/0110062950.jpeg "Capgemini Cloud Transformation Map für den öffentlichen Sektor (© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/8f/18/8f18a71e1931275c50375f34bd62e9ea/0110005602.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/6b/18/6b18f350ffe57f39c8f22261e1512180/0109462389.jpeg "(©Kodak Alaris)")
:quality(80)/p7i.vogel.de/wcms/40/90/4090633aae8e48fa597417d5f0ba6a3b/0105782700.jpeg "Der 15. eGovernment Summit findet in diesem Jahr im Dresdner Taschenbergpalais statt. Aber auch darüber hinaus bietet die Stadt manche Sehenswürdigkeit, wie hier den Dresdner Zwinger (© k_samurkas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/54/3e542cb112bce48401c443ee26d00900/0105460156.jpeg "In freudiger Erwartung auf den eGovernment Summit 2022: CIO und Staatssekretär Thomas Popp im Interview (© Sächsische Staatskanzlei)")
:quality(80)/p7i.vogel.de/wcms/8b/93/8b932b163c8d8348c389039cbe12d43c/0105209523.jpeg "Der Schirmherr des eGovernment Summits 2022, der Beauftragte der Bundesregierung für Informationstechnik, Staatssekretär Dr. Markus Richter, sieht in der Digitalisierung eine Daueraufgabe, die den Einsatz aller Beteiligten erfordert (© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/8f/d08f5b8940e69bbcb1f7b0f72f9b1a68/0107306675.jpeg "(© Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/cc/d5/ccd5c6633e72665e2a9a141ecff68f6a/0105217259.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/81/19/81199d2c339f7f1d4e6d8e2f78907297/0105195141.jpeg "(© Salesforce)")
:quality(80)/p7i.vogel.de/wcms/21/50/215096bd7fd1d34cfa407e78fcc655db/0110111007.jpeg "KI-Systeme sind in allen Bereichen auf dem Vormarsch und werden unser Leben einschneidend verändern (©aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/f7/9af7c9557f1083b9fccd633071a1409a/0110116034.jpeg "(© aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/af/0faf6811142391ce336005dc0c8af6b7/0110111565.jpeg "Cross-Site-Scripting: Kriminelle nutzen Sicherheitslücken (© aga7ta – stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/61/56/6156c5a4f1c43/1280px-kodak-alaris-logo-svg.png "1280px-kodak-alaris-logo-svg (Kodak alaris)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135000/135096/65.jpg "logo_nospamproxy300x300.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/ec/62ecb4aa0b5e9/qytera-logo-rgb-800x300px.png "qytera-logo-rgb-800x300px (Qytera)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1931900/1931914/original.jpg "Zero-Trust-Sicherheitskonzepte vertrauen grundsätzlich weder Anwendern noch Geräten oder Diensten (aga7ta - stock.adobe.com)")