Was ist Cross-Site Scripting und wie kann ich mich davor schützen?

Cross Site Scripting (XSS) ist die häufigste Angriffsmethode im Internet. Angreifer benötigen hierfür keine großartigen Programmierkenntnisse, sondern laden sich lediglich einen kurzen Beispielcode herunter. Dieser wird als Blogkommentar oder Foreneintrag veröffentlicht und soll dem Angreifer Zugriff auf weitere Daten auf dem Server ermöglichen. Wie das genau aussieht und was Sie dagegen tun können, lesen Sie hier.

Das Wichtigste in Kürze:

  • XSS-Angriffe bleiben durch ihr verdecktes Wirken oft lange unbemerkt.
  • Blogs und Foren werden besonders häufig gekapert.
  • Sie können sich und Ihren Server durch einfache Methoden schützen. Umgehen Sie beispielsweise Mails von unbekannten Absendern und kontrollieren Sie als Webseitenbetreiber strikt Ihre Kommentarfunktion.

Was kann durch Cross-Site Scripting passieren?

Ein häufiger Bestandteil eines XSS-Angriffs ist das Abgreifen von Logindaten. So können Angreifer beispielsweise Zugriff auf Ihr E-Mail-Postfach oder Ihr Bankkonto erhalten. Die Daten werden dann für illegale Handlungen genutzt.

Ein weiterer Grund ist, dass Ihr Computer Teil eines Botnets werden soll. In diesem Fall werden viele Computer vom Angreifer zusammengeschaltet, um einen oder mehrere Server durch eine gezielte DDoS-Attacke außer Gefecht zu setzen.

Cross-Site Scripting - XSS

Sicherheitslücken im Server erleichtern Cross-Site Scripting

Sicherheitslücken am Server sind der häufigste Grund für Angriffe per Cross-Site Scripting. Experten sind dauerhaft damit beschäftigt, solche Lücken zu finden und auf sie aufmerksam zu machen. Dies zieht wiederum Angreifer an, die die Webseite kapern möchten.

Für einen Angriff muss eine Möglichkeit bestehen, mit Ihrem Computer oder Ihrer Webseite zu interagieren, um den Code einzuschleusen. Am häufigsten geschieht das über ein Kommentarfeld in einem Blog oder ein Beitragsfeld in einem Forum. Wird in diesem Kommentar oder Foreneintrag entsprechender Schadcode eingefügt, wird ein Script gestartet, das für die Übermittlung weiterer Daten sorgt oder ein Hintertürchen für den Angreifer öffnet.

Verschiedene Arten des Cross-Site Scripting

Das sind die drei häufigsten Arten des Cross-Site Scripting:

 Lokales XSS 
Die älteste und erfolgreichste Methode des Cross-Site Scripting:Der Besucher klickt auf einen Link, der ihn auf eine präparierte Webseite leitet. Über den Zugriff wird der Schadcode in den Browser des Besuchers geladen und das Script ausgeführt. Den Link erhält der Besucher meist per E-Mail. Aktuelle E-Mail-Programme und Sicherheitssoftware filtern einen Großteil dieser Angriffe heraus, allerdings klicken viele Nutzer noch immer auf Links von unbekannten Absendern. Dadurch werden wichtige Sicherheitsmechanismen umgangen.
 
 Persistentes XSS 
Hierfür ist eine Sicherheitslücke am Server erforderlich. Der Angreifer manipuliert einen Link in der Datenbank, welcher anschließend dauerhaft (persistent) gespeichert wird. Diese Manipulation ist kaum ersichtlich, allerdings werden Besucher durch den neuen Datenbank-Eintrag auf andere Webseiten umgeleitet. Diese gleichen häufig den ursprünglichen Seiten. So sollen Login-Daten der Nutzer ausgespäht werden.
 
 Reflektiertes XSS     
Der Nutzer ruft eine manipulierte URL auf. Der Server akzeptiert diese schadhafte URL, da der genaue Inhalt nicht geprüft wird. Daraufhin wird eine dynamische Webseite erzeugt, die der ursprünglich erwarteten Seite sehr ähnelt. Im Gegensatz zum persistenten XSS wird hier jedoch keine Datenbank manipuliertund auch keine statische Webseite erschaffen.
 

Wie schütze ich mich gegen Cross-Site Scripting?

Um sich sinnvoll vor XSS-Angriffen zu schützen, stehen Ihnen verschiedene Möglichkeiten zur Verfügung:

Sicherheitsvorkehrungen nutzen statt umgehen

  • Klicken Sie nicht leichtfertig auf verlockend klingende Links wie Gewinnspiele oder ominöse Sicherheitsabfragen. E-Mail-Programme, Browser und Sicherheitssoftware arbeiten Hand in Hand, um Sie zu schützen.
  • Wenn Sie Links erhalten, prüfen Sie zunächst die Quelle. Kommt Ihnen der Absender nicht bekannt vor, blockieren Sie die E-Mail.
  • Nutzen Sie Browser-Plugins um Scripte wie JavaScript zu blockieren.

💡 Gut zu wissen: Offizielle Dokumente kommen in Deutschland höchst selten per E-Mail. Hat beispielsweise Ihre Bank Probleme mit der Anmeldung, werden Sie telefonisch oder per Post kontaktiert.

Was kann ich als Webseitenbetreiber gegen Cross-Site Scripting tun?

Prinzipiell ist es einfach, Ihre Webseite zu schützen. Allerdings erfordern diese Vorgehensweisen Ihre Aufmerksamkeit und sollten nicht ins Hintertreffen geraten.

Nur notwendige Kommentarfunktionen aktivieren

Wenn Sie einen Blog betreiben, sollten Sie das Einfügen einer Kommentarfunktion abwägen. Sie vereinfacht zwar die Interaktion und belebt Ihre Webseite, birgt jedoch auch ein gewisses Risiko.

Nur notwendige Kommentarfunktionen aktivieren

URLs und Code automatisch entfernen

Für WordPress, Joomla und Co. gelten ohnehin bestimmte Sicherheitsvorkehrungen, um XSS-Kommentare zu erschweren. Zusätzliche Plugins helfen Ihnen, diese Attacken weitgehend zu unterbinden. Die meisten Plugins entfernen URLs und sonstigen ausführbaren Code aus den Kommentaren und hinterlassen einen Hinweis, dass dieser entfernt wurde. Wenn Ihre Webseite nicht zu umfangreich ist, können Sie auch die Moderation von Kommentaren aktivieren und diese dann per Hand auswerten.

Software immer aktualisieren

Sämtliche Software sollte stets auf dem aktuellen Stand sein. Das fängt bei Ihrem Betriebssystem und der Anwendersoftware an und endet bei der Server-Software. Für den Produktiveinsatz gedachte Software ist oft als „stable branch“ gekennzeichnet. Beta-Software lockt zwar mit neuen Funktionen und oft auch schönerem Design, allerdings werden vorerst lediglich Funktionen hinzugefügt und Probleme erst anschließend behoben. So können Sicherheitslücken zunächst unbemerkt ihr Dasein fristen. 

Hinweis: Es wird empfohlen, Beta-Software vorerst nur in einer abgeschlossenen Umgebung ohne Internetzugang zu testen, um externe Zugriffe zu vermeiden.

Wie schütze ich meine Webseite - Tipps vom DomainFactory Support

Ihre Empfehlung ist uns 50 € wert

Empfehlen Sie die DomainFactory Ihren Freunden, Bekannten oder Kollegen und erhalten Sie 25 € Prämie für Sie und 25 € Prämie für den Geworbenen. Jede erfolgreiche Empfehlung zählt! Richten Sie gleich Ihr Prämienkonto ein

Kunden werben Kunden
Kunden werben Kunden

End of article

DomainFactory

Über den Autor

DomainFactory

Als Qualitätsanbieter überzeugen wir mit HighEnd-Technologie und umfassenden Serviceleistungen. Mit mehr als 1,3 Millionen verwalteten Domainnamen gehören wir zu den größten Webhosting-Unternehmen im deutschsprachigen Raum.

4 Kommentare

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Heike
    Heike - 2. März 2020 um 15:56 Uhr

    Hallo Domainfactory-Team,

    wie richte ich mein E-Mail-Postfach bei Domainfactory ein,

    damit ich gleich die E-Mail-Adresse des Absenders sehe.

    Am besten noch bevor ich die E-Mail öffne?

    Aktuell wird da der Name angezeigt, aber nicht die Mailadresse.

    Neugierige Grüße

    Heike Klein

    • Brendel
      Brendel - 2. März 2020 um 18:01 Uhr

      Hallo Frau Klein,
      Sollten Sie das Programm Apple-Mail benutzen, kommt diese Darstellung meist von eben diesem Programm, das wäre die erste Anlaufstelle. Versuchen Sie auch dort eine andere Einstellung. Aber auch Outlook für Mac kann sich so verhalten. Mfg SupportMac.de

  • dario128
    dario128 - 2. März 2020 um 18:08 Uhr

    Ich bin mir nicht sicher ob sich an welche Zielgruppe sich dieser Beitrag richtet, Admins oder Benutzer.
    Aber Admins sollten sich nochmal mit Themen wie Content-Security-Policy beschäftigen (siehe [1])
    Der Beitrag könnte dahingehend vielleicht auch erweitert werden

    [1] https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

    • Inga
      Inga - 5. März 2020 um 09:37 Uhr

      Hallo,
      danke für dein Feedback. Wir werden das gerne in Erwägung ziehen.
      Viele Grüße
      Inga