Internet-Gefahr
So funktionieren Cross-Site Scripting & CSRF
Cross-Site Scripting (XSS), CSRF und MySQL-Injection gehören zu den schlimmsten Bedrohungen im Internet. Wir erklären die technischen Grundlagen und sagen wie Sie sich schützen.
XSS heißt eine Sicherheitslücke, durch die nahezu jedem Internetnutzer Gefahr droht. Vor allem in Foren und Weblogs, aber auch in online-basierten Anwendungen wie zum Beispiel Google Texte und Tabellen werden nahezu ununterbrochen XSS-Lücken entdeckt.
Cross-Site Scripting (die Abkürzung dafür lautet XSS und nicht wie eigentlich nahe liegenderweise CSS, weil CSS bereits als Kürzel für Cascading Stylesheets vergeben ist) besteht einfach gesagt darin, dass ein Angreifer Skript-Code in variable Bereiche auf einer Website oder in einer Internetanwendung an einer Stelle einfügt (und zur Ausführung bringt), wo dies eigentlich nicht möglich sein sollte beziehungsweise wo die Eingaben durch den Browser nicht ausreichend überprüft werden und in einem für den Anwender vertrauenswürdigen Context erscheinen.
XSS-Angriffe können mittels jeder von einem Browser interpretierbaren Skriptsprache erfolgen. Meist dürfte Javascript verwendet werden, aber auch VB-Skript/ASP.net oder ActiveScript (die Skriptsprache von Flash) sind möglich. In Javascript könnte ein ganz simples Script so aussehen:
Cross-Site Scripting (die Abkürzung dafür lautet XSS und nicht wie eigentlich nahe liegenderweise CSS, weil CSS bereits als Kürzel für Cascading Stylesheets vergeben ist) besteht einfach gesagt darin, dass ein Angreifer Skript-Code in variable Bereiche auf einer Website oder in einer Internetanwendung an einer Stelle einfügt (und zur Ausführung bringt), wo dies eigentlich nicht möglich sein sollte beziehungsweise wo die Eingaben durch den Browser nicht ausreichend überprüft werden und in einem für den Anwender vertrauenswürdigen Context erscheinen.
XSS-Angriffe können mittels jeder von einem Browser interpretierbaren Skriptsprache erfolgen. Meist dürfte Javascript verwendet werden, aber auch VB-Skript/ASP.net oder ActiveScript (die Skriptsprache von Flash) sind möglich. In Javascript könnte ein ganz simples Script so aussehen:
(Theoretisch sollte immer mit type="text/javascript“ beziehungsweise language=“javascript“ die genaue Skriptsprache angegeben werden. Unterbleibt jedoch die explizite Angabe der Skriptsprache, so gehen Browser standardmäßig davon aus, dass es sich um Javascript handelt).
Tippt man diesen Text in ein ungeschütztes Eingabefeld ein (das also Skripteingaben nicht mit geeigneten Programmiertechniken entschärft), dann sollte nach dem Abschicken des Formulars ein Pop-Up mit dem Text 'XSS-Lücker eiskalt ausgenutzt' aufgehen.
Update-Hinweis: Dieser Artikel wurde am 30.4.2010 aktualisiert, u.a. wurde die Versionsangaben der verwendeten Software auf den neuesten Stand gebracht.
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 1 von 6
Nächste Seite
14.03.11
Was ist denn das für ein Quatsch ?
Warum sollte ich in ein Formular jetzt irgendeinen Scriptcode ( der im übrigen auf Ihrer Webseite nicht mehr angezeigt wird - Geheimhaltung ? )
eingeben um ein Popup-Fenster zu erzeugen.
Soll das ein Beweis für mögliche Selbstschädigung sein ?
Zitat : "...Code, der von einem Angreifer untergeschoben wurde..."
Ich sehe in Ihrem Beitrag weder einen Angreifer noch wie er Code unterschieben könnte. Da müßten Sie schon etwas konkreter und verständlicher formulieren !
Antwort schreiben
13.11.11
Es wird andauern versucht mit Hilfe von Setzen von Parametern über die URL Werbung in das Forum einzufügen (was aber zum Glück nicht funktioniert).
Nun ist aber auf der Website eine Übersicht, die anzeigt wer auf welchen Seiten war. Es ist also ziemlich nervig, dass dort immer alles zugespammt wird...
Was kann man im einfachsten Fall dagegen tun ohne die Funktion der Page einzuschränken?
Ich habe mit utrace die IPs zurückverfolgt. Sie kommen alle aus Lettland.
Ein IP Bann bringt aber nichts, da die IPs wechseln.
Antwort schreiben
13.11.11
Wende dich an deinen Hoster. So er Ahnung von seinem Geschäft hat, sollte er ein IPS/IDS zwischen schalten können.
Antwort schreiben
13.11.11
Ich denke nicht, dass das von einem kostenlosen Hoster, wie bplaced in meinem fall, gewährleistet wird oder liege ich da falsch?
Auf jeden Fall schon einmal danke für den Vorschlag.
Antwort schreiben
14.11.11
...mei, woher sollen wir das wissen, wenn du das schon nicht weißt. Erzähle uns doch einfach mal, was du für Möglichkeiten und Rechte auf dem Server hast. Auf Ebene der Webanwendung lassen sich solche Angriffe eh nicht eindämmen - maximal die optischen Auswirkungen kaschieren (z.B. durch Verwerfen von DB-Einträgen mit ungültigen Parametern/Übergabewerten). Nur ist das nicht ganz clever, wenn man nicht permanent die Serverlogs auf merkwürdige Einträge kontrolliert.
Antwort schreiben
14.11.11
Antwort schreiben