Öffentlich
Es sind noch 0 von None Plätzen verfügbar.
Bei einer Webanwendung oder Webseite entstehen genau dann potentielle Sicherheitslücken, wenn von einem Webseitenbesucher Eingaben gefordert sind. Genau auf diese Eingabemöglichkeit hat es ein Cross-Site-Scripting-Angreifer abgesehen.
Unter Cross-Site-Scripting, auch XSS, CSS oder webseitenübergreifendes Skripting genannt, wird das Einschleusen eines (JavaScript-) Codes auf einer Webseite durch einen Angreifer bzw. Hacker verstanden. Dabei kann zwischen dauerhafter und temporärer Unterbringungeines Codes unterschieden werden. Bei einer dauerhaften Unterbringung kann es sich z. B. um einen eingeschleusten Code in einem Web-Gästebuch handeln. Hier ist der Code gespeichert und so besteht für alle Besucher des Gästebuchs Gefahr, Opfer einer XSS-Attacke zu werden.
Ruft der Nutzer das Gästebuch auf, wird der Schadcode beim Nutzer am Gerät ausgeführt und der Angreifer kann auf das Gerät des Nutzers zugreifen.
Ruft der Nutzer das Gästebuch auf, wird der Schadcode beim Nutzer am Gerät ausgeführt und der Angreifer kann auf das Gerät des Nutzers zugreifen.
Close
Bei einer temporären Unterbringung (nicht gespeicherter Code) hingegen wird ein präparierter Link exklusiv für einen Benutzer auf einer Anmeldeseite eingebunden. Das schadhafte Skript ist auf einem fremden Server lokalisiert und aktiviert sich sobald ein Button, ein Foto oder eine Verlinkung angeklickt oder nur die Suchfunktion genutzt wird (also eine http-Anfrage gestellt und http- Antwort erwartet wird).
Der aktivierte präparierte Link wird vom Browser als ausführbarer Code interpretiert und liest so Cookies aus. Im Cookie sind unterschiedlichste Informationen enthalten, die die Nutzung der Webseiten für ihre Anwender angenehmer machen soll, zum Teil auch Benutzername. Darüber hinaus können durch den präparierten Link auch Keylogger installiert werden, welche die Tastatureingaben des Benutzers aufzeichnen. Diese aufgezeichneten Daten werden dann dem Angreifer, z. B. via E-Mail, übermittelt. So verschafft sich dieser Zugang zu den Daten des Benutzers, um z. B. seine Benutzerkonten zu übernehmen. Der Benutzer bleibt über dieses Geschehen uninformiert.
Cookies können eine Vielzahl von Informationen beinhalten, die den Besucher persönlich identifizierbar machen (wie Ihren Namen, Ihre Adresse, Ihre E-Mail-Adresse oder Telefonnummer). Eine Website hat jedoch nur Zugang zu persönlichen Daten, die Sie bereitstellen. So kann eine Seite beispielsweise nicht ohne Ihr Zutun Ihre E-Mail-Adresse ermitteln. Eine Website kann auch nicht auf andere Dateien auf Ihrem Computer zugreifen.
Der Angreifer könnte mit den Skripten unbemerkt die Identität des Nutzers stehlen und sich so als „authentifizierter Nutzer“ auf dem Webangebot bewegen und unter Umständen kostenpflichtige Dienste nutzen, die nachher dem Opfer in Rechnung gestellt werden.
Fakten Fakten Fakten
- Häufigstes Sicherheitsproblem bei Webanwendungen
- Am häufigsten betroffen sind Programme, die externe Parameter, wie Formulareingaben, verarbeiten. Dies wären z. B. Gästebücher, Such- oder Anmeldeformulare.
Watch-Party
Session wird geladen ...
Viewer: 0
Event verwalten