Zuhause Entwicklung Was ist ein XSS-Loch? - Definition aus techopedia

Was ist ein XSS-Loch? - Definition aus techopedia

Inhaltsverzeichnis:

Anonim

Definition - Was bedeutet XSS Hole?

Eine XSS-Lücke ist eine Webanwendung, die Benutzern mit einer Sicherheitslücke dynamische Inhalte bereitstellt. Bei dieser Anwendung handelt es sich um Cross-Site-Scripting (XSS), mit dem ein Angreifer vertrauliche Daten eines Benutzers ausnutzen kann, ohne einen Zugriffskontrollmechanismus wie eine Richtlinie mit demselben Ursprung zu übergeben. Dieser Defekt wird geeigneterweise als XSS-Loch bezeichnet.

Techopedia erklärt XSS Hole

Beispielsweise kann der Benutzer in einer Webanwendung auf einen Hyperlink stoßen, der auf schädlichen Inhalt verweist. Der Benutzer kann auf den Link klicken und zu einer anderen Seite mit einigen Informationen oder einem E-Mail-Bulletin geleitet werden. Diese Seite sammelt Benutzerinformationen in Form eines Passworts. Außerdem wird eine böswillige Ausgabeseite generiert, die auf eine gefälschte Antwort hinweist, die dem Benutzer als echt erscheint. Entweder können die vom Benutzer eingegebenen Daten missbraucht werden oder die Sitzung des Benutzers kann durch Cookie-Diebstahl missbraucht werden. Basierend auf der Sensibilität der gesammelten Daten kann Cross-Site-Scripting von einer bloßen Sicherheitslücke bis zu einer gravierenden Sicherheitslücke reichen. Nach Ausnutzung der XSS-Sicherheitsanfälligkeit umgeht der Angreifer möglicherweise die Zugriffssteuerungsrichtlinien der Organisation.

Das Konzept der siteübergreifenden Skripterstellung basiert auf derselben ursprünglichen Richtlinie. Dieselben ursprünglichen Richtlinien besagen, dass ein Webbrowser mit JavaScript ohne Einschränkungen auf verschiedene Eigenschaften und Methoden zugreifen kann, die zur selben Site gehören. Böswillige Angreifer können das Konzept derselben ursprünglichen Richtlinie ausnutzen, indem sie mithilfe von JavaScript böswilligen Code in eine Website einfügen. Wenn die Webseiten von Benutzern angezeigt werden, sammeln Angreifer möglicherweise nützliche Benutzerinformationen, z. B. einen Benutzernamen oder ein Kennwort.

Gemäß den Statistiken von Symantec aus dem Jahr 2007 machen Cross-Site-Skripte 80 Prozent aller Sicherheitsangriffe aus, die auf Computern ausgeführt werden. Es gibt drei Arten von Cross-Site-Skripten:

  • Nicht persistentes XSS: Der nicht persistente Typ der standortübergreifenden Skripterstellung wird bei HTTP-Anforderungen angezeigt, bei denen der Client Daten in eine HTTP-Anforderung einbettet. Wenn der Server vom Client gesendete Daten zum Generieren von Seiten verwendet, können die XSS-Lücken aktiv sein, wenn die Anforderung nicht ordnungsgemäß bereinigt wurde. HTML-Seiten bestehen sowohl aus Inhalten als auch aus Präsentationen. Wenn der böswillige Benutzer Inhalte hinzufügt, die nicht validiert wurden, erfolgt eine Markup-Injection. Der Benutzer gefährdet seine Sicherheit, indem er die vom Schadcode angeforderten Informationen eingibt. Der Angreifer kann den Benutzer zu einer anderen URL verleiten, die möglicherweise einen komplexeren Virus enthält und wichtige Benutzerinformationen enthält.
  • Persistent XSS: Der vom Angreifer eingeschleuste schädliche Inhalt wird serverseitig gespeichert und alle weiteren Client-Anforderungen greifen auf den geänderten Inhalt zu, wodurch ein ernstes Sicherheitsrisiko entsteht. In einigen Foren kann der Benutzer beispielsweise HTML-formatierte Nachrichten veröffentlichen. Daher kann ein Angreifer einen JavaScript-Code einbetten, um ein böswilliges Textfeld anzuzeigen, in dem Informationen wie ein Kennwort erfasst werden. Der Angreifer kann den JavaScript-Code auch so konfigurieren, dass jedes in das Textfeld eingegebene Passwort gespeichert und übertragen wird.
  • DOM-basiertes XSS: Das Document Object Model (DOM) ist eine Baumstruktur, die alle Tags darstellt, die in einem Dokument erscheinen, das den XML-Standards entspricht. DOM wird in JavaScript verwendet, um auf HTML-Tags und deren Inhalt zuzugreifen und diese zu bearbeiten. Ein Angreifer kann einen schädlichen JavaScript-Code einfügen, der die entsprechenden DOM-Anweisungen enthält, um auf wichtige Benutzerinformationen zuzugreifen und diese zu ändern. Beispielsweise kann der Angreifer DOM verwenden, um die Benutzerinformationen durch eine nicht ordnungsgemäße Übermittlung an eine böswillige Website eines Drittanbieters umzuleiten.
Was ist ein XSS-Loch? - Definition aus techopedia