Home News Mailingliste Sitemap Impressum 

Vorstudie | Konzeption | HTML | CSS | Javascript | PHP | Datenmodellierung | SQL/MySQL | CMS / Joomla |
Security I | Security II | Bildbearbeitung | Netzwerktechnologie | Recht | Marketing/eCommerce |

 » Übersicht
 » Frei verfügbare Scripts
 » Cross Site Scripting
 » SQL-Injection
 » Globals
 » Fehlermeldungen
 » Intrusion Detection System
 » E-Mail Spamschutz
 » Application Level Firewall
 » SSL

Sicherheit bei Webapplikationen

« zurück | drucken

Cross Site Scripting (XSS)

Clienseitiges XSS Hier wird versucht Code einer meist clientseitigen Scriptsprache (z.B. Javascript) über URL-Parameter oder Formularfelder an den Webserver zu senden. Wird dieser Code in der Website angezeigt führt der Browser diesen Code aus. So kann zum Beispiel über ein Forum oder Gästebuch per Javascript ein Redirct ausgelöst werden oder den Inhalt eines Session-Cookies auf dem Client ausgelesen und an eine beliebige Ziel-Adresse geschickt werden.

Serverseitiges XSS Mit der include-Anweisung ist es möglich in ein Script der auf anderen Rechnern liegt einzubinden. Wird ein solche Include-Dateiname direkt aus einem URL-Parameter per GET übernommen und einegesetzt, besteht die Möglichkeit die Adresszeile zu manipulieren. So kann zu Beispiel ein Script auf einem beliebigen Server platziert und eingebunden werden, um die Datenbankstruktur und deren aufzulisten oder zu löschen. Um die Herkunft eines solchen Angriffs zu verschleiern, ist eine beliebte Technik die manipulierte Adresse als Link auf einer Website zu platzieren. Danach überlässt man es dem Suchroboter von Google der den Links nachgeht die Aktion auszulösen. So wird die IP-Adresse von Googlebot protokolliert und nicht die des Angreifers.

Home News Mailingliste Sitemap Impressum