Was ist Cross-Site-Scripting (XSS)?

Laut Open Web Application Security Project (OWASP) fallen XSS-Angriffe in eine von drei Kategorien: reflektiertes XSS, gespeichertes XSS und Document Object Model (DOM) XSS. Diese sind unten aufgeführt.

Ein reflektierter XSS-Angriff tritt auf, wenn ein Hacker ein bösartiges Skript an eine anfällige Webanwendung sendet, das der Server dann in der HTTP-Antwort zurückgibt. Der Browser des Opfers führt das bösartige Skript als Teil der HTTP-Antwort aus, gefährdet den legitimen Benutzer und sendet private Informationen zurück an den Hacker.

Reflektierte XSS-Angriffe nehmen in der Regel Fehlermeldungen oder Ergebnisseiten von Suchmaschinen ins Visier, da es einfach ist, eine bösartige E-Mail mit einem Link zu versenden, auf den viele Benutzer klicken werden. Wenn der Benutzer auf den Link klickt, erhält der Server die Anforderung, die das bösartige Skript enthält, und da es nicht gespeichert ist, antwortet er, indem er einen Code zurück an den Benutzer sendet. Wenn Benutzereingaben nicht ausreichend validiert und bereinigt werden oder wenn Daten aus einer Anfrage unsicher dupliziert werden, besteht das Risiko von reflektierten XSS-Schwachstellen.

Die erste Verteidigungslinie gegen XSS-Angriffe besteht darin, Inhalte zu filtern und Benutzereingaben zu überprüfen. Mithilfe der Safelists und Blocklists von Skriptanbietern lassen sich etwa riskante Datenmuster abwehren.

Darüber hinaus kann eine strenge Content Security Policy (CSP) implementiert werden, um die Quelle von Inline-Skripten zu identifizieren und so das Risiko von reflektierten XSS-Angriffen zu verringern. Eine starke CSP gewährt die Kontrolle über Skripte und die Webseiten, auf denen diese geladen und ausgeführt werden dürfen.

Bei einem gespeicherten XSS-Angriff speichert ein bösartiges Skript Benutzereingaben auf dem Zielserver. Im Gegensatz zu einem reflektierten XSS-Angriff, der auf dem Server ausgeführt wird, läuft ein gespeicherter XSS-Angriff auf dem Browser des Benutzers. Angreifer verwenden dann moderne HTML5-Anwendungen, in der Regel mit HTML-Datenbanken, um schädliche Skripte dauerhaft im Browser zu speichern.

Bei einem gespeicherten XSS-Angriff wird das Skript gesichert und jedes Mal auf dem Server ausgeführt, wenn der Benutzer auf die betroffene Website zugreift. Für einen Angreifer ist es einfach, eine große Anzahl von Opfern ins Visier zu nehmen, und das Ergebnis ist dauerhaft. Gespeicherte XSS-Angriffe können auch auftreten, wenn ungeschulte Benutzer versuchen, Daten aus der Software zu extrahieren, ohne Vorsichtsmaßnahmen zur Bereinigung oder Validierung zu treffen.

Gespeicherte XSS-Angriffe zielen darauf ab, einem Benutzer ein bösartiges Skript zu vermitteln. Der einfachste Weg, diese zu verhindern, besteht also darin, Benutzerdaten zu bereinigen und Eingaben sorgfältig zu behandeln – und der beste Weg, sie zu verhindern, ist die Verwendung geeigneter Parameterbindung.

Daten können mit einem Template-System mit automatischer Escape-Funktion oder HTML-Kodierung bereinigt werden. Daten, die für die Ausgabe bestimmt sind, sollten codiert werden, um zu verhindern, dass der Server sie als aktiven Inhalt interpretiert. Das bedeutet, dass die Anwendung Sonderzeichen in ihren gespeicherten Daten als HTML-Tag-Content und nicht als einfaches HTML verarbeitet. 

Die Bindung von Datenparametern (Daten) variiert je nach Vektor, aber Variablen lassen sich auch als zusätzliche Werte außerhalb der normalen Funktionalität der Funktion übergeben. Auch mit geeigneten Antwort-Headern lassen sich Angriffe verhindern, in der Regel durch Hinzufügen weniger Zeilen Code.

Eine weitere Technik, um XSS-Angriffe in Echtzeit zu verhindern, ist der Einsatz dynamischer Sicherheitsmaßnahmen, die aktiv nach Exploit-Versuchen suchen. Durch das Blockieren bekannter Muster können Sie Angreifer daran hindern, bestehende Sicherheitslücken auszunutzen.

Schließlich können Sie Web Application Firewalls (WAFs) zur Echtzeit-Erkennung und Abwehr von XSS-Angriffen einsetzen.

Die DOM-Schnittstelle ermöglicht die Verarbeitung und Manipulation von Webseiteninhalten durch Lesen und Ändern von HTML- und XML-Dokumenten. DOM-basierte XSS-Angriffe führen böswillige Änderungen am DOM-Kontext des Browsers des Opfers ein, wodurch der clientseitige Code unbeabsichtigt ausgeführt wird.

Im Gegensatz zu reflektierten und gespeicherten XSS-Angriffen speichern DOM-basierte XSS-Angriffe das bösartige Skript nicht und übermitteln es auch nicht an den Server. Bei diesem Angriff ist der Browser des Opfers die einzige Schwachstelle. Da sie schwieriger zu verstehen sind als andere Kategorien, sind DOM-basierte Schwachstellen selten, komplex und schwer zu beheben. Darüber hinaus können automatisierte Schwachstellen-Scanner und Web Application Firewalls sie nicht leicht identifizieren.

Zur Abwehr dieses Angriffs dienen dieselben Techniken wie bei den beiden anderen, allerdings muss dabei besonders sorgfältig darauf geachtet werden, den clientseitigen Code zu bereinigen. Zwei wirksame Lösungen sind, zu verhindern, dass benutzergesteuerte Quellen potenziell gefährliche JavaScript-Funktionen (sogenannte Sinks) ändern, oder nur vertrauenswürdige Inhalte mithilfe einer Safelist zuzulassen. Mit diesen Vorsichtsmaßnahmen werden Zeichenfolgen, die das DOM gefährden könnten, nicht an Sinks gesendet. Die Daten können auch mithilfe der integrierten Browserfunktionen bereinigt werden. Das reduziert das Risiko von Problemen im Zusammenhang mit Änderungen am Parser.

Eine neuartige Abwehrmaßnahme gegen diese Art von Angriffen ist die Verwendung von Trusted Types. Das ist ein Browser-Sicherheitsmechanismus, der sicherstellt, dass alle riskanten Teile des DOM nur von Daten verwendet werden können, die eine vordefinierte Richtlinie bestanden haben. Er verhindert, dass beliebige Zeichenfolgen an potenziell gefährliche Sinks weitergeleitet werden und hilft dem Browser dabei, zwischen Code und Daten zu unterscheiden – wodurch die Hauptursache für Sicherheitslücken beseitigt wird.