academy
Sicherheit
Sicherheit
Alle Artikel zum Thema Sicherheit anzeigen
Privatsphäre
Privatsphäre
Alle Artikel zum Thema Privatsphäre anzeigen
Leistung
Leistung
Alle Artikel zum Thema Leistung anzeigen
Sprache auswählen
Sprache auswählen
Avast Academy Sicherheit Andere Bedrohungen Was ist Cross-Site-Scripting (XSS)?

Was ist Cross-Site-Scripting (XSS)?

Cross-Site-Scripting, auch als XSS bekannt, ist eine Cyberattacke, bei der ein Hacker bösartigen Code in eine legitime Website einschleust. Erfahren Sie, woher XSS-Angriffe kommen und wie sie funktionieren, und finden Sie dann heraus, wie Sie sich mit einer erstklassigen Sicherheitslösung gegen alle Arten von Online-Bedrohungen schützen können.

Cross-site_scripting_XSS-Hero

Ein XSS-Angriff ist eine Art Code-Injection-Angriff, eine breite Kategorie von Cyberkriminalität. Um einen dieser Injection-Angriffe auszuführen, fügt ein Hacker seinen eigenen Code in ein anfälliges Programm ein (Injection). Einige Angriffe verändern die Ausführung des Programms vollständig, andere fügen zusätzliche Ergebnisse hinzu, wie das Herunterladen von Malware auf den Computer des Opfers oder den Diebstahl persönlicher Daten.

Hamburguer menu icon

Dieser Artikel enthält:

    Wie funktioniert Cross-Site-Scripting?

    In der Computerprogrammierung ist ein Skript eine Reihe von Anweisungen, die einem Programm mitteilen, was es tun soll. Hacker können Schwachstellen im Code einer Website ausnutzen, um ihre eigenen bösartigen Skripte einzuschleusen, die das Verhalten der Website in irgendeiner Weise verändern.

    Ihr Browser kann keinen Unterschied zwischen dem legitimen Code der Website und dem von einem Cyberkriminellen eingefügten Code erkennen. Ihr Browser führt automatisch alle Skripte auf einer bestimmten Website aus, so dass er den Code des Hackers zusammen mit allen anderen ausführt.

    Mithilfe von XSS können Hacker legitime Websites in Fallen verwandeln. Normales Surfen wird gefährlich, wenn Sie auf einer Website landen, die mit versteckten bösartigen Skripte infiziert ist. Was noch schlimmer ist: XSS bedeutet, dass der Hacker nicht jedes Opfer direkt angreifen muss – er kann sich zurücklehnen und die infizierten Websites die ganze Arbeit machen lassen und so viel mehr Menschen gleichzeitig erreichen.

    HTML, JavaScript und Webanwendungen: Oh je!

    Hinter jeder Website verbirgt sich ein Haufen Code, der in einer Auszeichnungssprache namens HTML geschrieben ist. Computerprogramme, z. B. Webanwendungen, verwenden Auszeichnungssprachen, um Code von normalem Text zu unterscheiden.

    Durch Cross-Site-Scripting-Angriffe können Hacker Schwachstellen im Code einer Website ausnutzen, um bösartige Skripte einzuschleusen, die das Verhalten der Website verändern.

    Eine Webanwendung ist ein per Fernzugriff gespeichertes Programm, das Ihnen über Ihren Internetbrowser auf Ihrem Computer zur Verfügung gestellt wird. Gängige Beispiele sind Webmail-Dienste und Online-Shops. Während Sie Eingaben in die Webanwendung eingeben, interpretiert und bearbeitet diese Ihre Anfragen auf ihrem Server und gibt die Ergebnisse dann an Sie in Ihrem Browser weiter. Der Unterschied zwischen Webanwendungen und nativen Apps besteht darin, dass letztere „traditionelle“ Programme sind, die vollständig auf Ihrem Gerät installiert und ausgeführt werden.

    Websites, die ausschließlich in HTML geschrieben sind, können sich nicht dynamisch an Benutzereingaben anpassen. Damit Webanwendungen ihre Aufgabe erfüllen können, mischen Programmierer HTML mit zusätzlichen Sprachen wie JavaScript, einer fortgeschritteneren Sprache, die es Websites ermöglicht, in Echtzeit auf Ihre Befehle zu reagieren. Wenn Sie beispielsweise in einem Bekleidungsgeschäft stöbern und in einem Dropdown-Menü „Pullover“ auswählen, weist JavaScript die Website an, Ihnen alle Pullover – und nur Pullover – anzuzeigen, die Sie kaufen können.

    Während HTML auf der Serverseite (Server-Side) ausgeführt wird, läuft JavaScript auf Ihrem Rechner (Client-Side). Die meisten XSS-Angriffe verwenden HTML oder JavaScript, und dieser Unterschied ist wichtig, um zu verstehen, wie die verschiedenen Arten von XSS-Angriffen funktionieren.

    Was kann ein Cross-Site-Scripting-Angriff anrichten?

    XSS-Angriffe sind in der Regel nicht so gefährlich wie andere Arten von Code-Injection-Angriffen, z. B. SQL-Injection. Browser neigen dazu, JavaScript-Inhalte an der kurzen Leine zu halten, aber ein geschickter Hacker kann innerhalb dieser Grenzen arbeiten, um eine Reihe von Benutzerdaten zu erlangen.

    Viele XSS-Angriffe zielen darauf ab, die Sitzungscookies des Opfers in einem Cookie-Diebstahl-Angriff zu stehlen, wenn sie die infizierte Website aufrufen. Mit diesen Cookies kann der Hacker im Namen des Opfers handeln und auf dessen persönliche Daten wie Benutzernamen und Passwörter zugreifen, um sie für weitere Cybercrimes zu verwenden. Auf einem E-Commerce-Portal können diese Daten sogar Kredit- und Debitkartennummern enthalten.

    Durch XSS kann eine legitime Website in ein Phishing-Portal verwandelt werden. Ein Hacker kann XSS beispielsweise nutzen, um ein gefälschtes Anmeldeformular zu erstellen, das die Anmeldedaten des Opfers abfängt, wenn sie übermittelt werden. Es könnte auch ein Keylogger eingeschleust werden, der die Tastatureingaben des Opfers aufzeichnet, während es sich auf der betroffenen Seite befindet. Bösartige Scripte können sogar Malware auf die Computer der Opfer herunterladen, um die Voraussetzungen für Folgeangriffe zu schaffen.

    Da jede Website HTML verwendet und die meisten Websites auch JavaScript einsetzen, muss ein Hacker nur eine Seite finden, die er ausnutzen kann. Aus diesem Grund ist XSS eine der häufigsten Sicherheitslücken in der heutigen Software.

    Nicht nur ist XSS so weit verbreitet, es ist auch unglaublich schwer zu entdecken, weil Hacker bösartigen Code in ansonsten seriöse Websites einfügen können. Die Besitzer dieser vertrauenswürdigen Websites sind möglicherweise nicht in der Lage, den bösartigen Code zu erkennen oder zu entfernen. Anstatt darauf zu warten, dass der XSS-Code entfernt wird – oder jeder Website im Internet paranoid zu werden –, ist es am besten, ein robustes Cybersicherheitstool zu verwenden.

    Avast Free Antivirus stoppt XSS bereits im Ansatz, so dass Sie nie Gefahr laufen, Ihre persönlichen Daten an einen Hacker weiterzugeben. Außerdem bietet es Rund-um-die-Uhr-Schutz vor bösartigen Links, infizierten E-Mail-Anhängen und allen anderen Online-Bedrohungen, die es gibt.

    Welche Arten von Cross-Site-Scripting-Angriffen gibt es?

    Es gibt drei grundlegende Kategorien von XSS-Angriffen. Die ersten beiden – reflektierte und gespeicherte – betreffen Code-Manipulationen auf dem Webanwendungsserver, während DOM-basierte XSS-Angriffe eine neuere Kategorie sind, die ausschließlich auf dem Gerät des Opfers funktionieren.

    Reflektiertes Cross-Site-Scripting

    Reflektiertes XSS ist die einfachste und häufigste der drei Arten von XSS-Angriffen. Er ist am einfachsten auszuführen und (wie in der Regel in solchen Situationen) auch am leichtesten zu erkennen und zu vermeiden. Es ist sogar die einzige Art, die Sie vernünftigerweise selbst erkennen können, ohne die Hilfe von Antivirus-Software.

    Reflektiertes XSS, auch bekannt als nicht-persistente Angriffe, erfordert, dass die Opfer auf bösartige Links klicken, die bereits mit dem Script des Hackers präpariert wurden. Der Browser des Opfers sendet die geladene Anfrage an den Server der Website, die dann über eine infizierte Seite an das Opfer „reflektiert“ wird.

    Der Hacker muss nicht in die Website selbst eindringen, aber er muss potenzielle Opfer davon überzeugen, auf seine infizierten Links zu klicken. Es ist ein Kompromiss zwischen technischer Raffinesse und Social Engineering.

    Gespeichertes Cross-Site-Scripting

    Während reflektierte XSS-Angriffe jedes Mal aktiv über einen bösartigen Link eingeleitet werden müssen, wird diese Einschränkung durch gespeichertes XSS überwunden. Gespeicherte XSS-Angriffe ermöglichen es Hackern, ihre Scripte dauerhaft direkt in eine Website zu injizieren und jeden Benutzer zu infizieren, der sie besucht. Aus diesem Grund werden sie auch als persistente Cross-Site-Scripting-Angriffe bezeichnet.

    Gespeicherte XSS-Angriffe sind komplizierter als ihre reflektierten Gegenstücke, denn ein Hacker benötigt eine Website mit:

    • genügend Traffic, damit sich ein Angriff lohnt, und

    • einer Sicherheitsschwachstelle, die mit gespeicherten XSS-Angriffen angegriffen werden kann.

    Wenn ein Hacker dies jedoch schafft, kann er eine viel größere Anzahl potenzieller Opfer angreifen – jeder, der eine infizierte Website aufruft, bekommt die bösartigen Skripte an seinen Browser übermittelt. Aus diesem Grund ist es fast unmöglich, gespeichertes XSS zu erkennen. Es gibt keine Warnzeichen, die Verdacht erregen, bis es zu spät ist.

    DOM-basiertes Cross-Site-Scripting

    Bei DOM-basierten XSS-Angriffen verändern die Hacker die Interaktion zwischen Ihrem Browser und den von Ihnen besuchten Websites, indem sie die Art und Weise ändern, wie diese Websites Ihre Eingaben an Sie zurückgeben. Während reflektierte und gespeicherte XSS-Angriffe das HTML auf der Serverseite beeinflussen, überspringen DOM-basierte XSS-Angriffe all das und konzentrieren sich ausschließlich auf das, was Ihr Browser tut.

    Erinnern Sie sich noch daran, dass die meisten Websites JavaScript verwenden, um dynamische Funktionen zu aktivieren? Es ist JavaScript, das die Dinge auf Ihrer Seite erledigt und der Website mitteilt, wie sie auf Ihre Befehle reagieren soll. Wenn ein Hacker den Prozess abfangen kann, mit dem JavaScript auf Ihrem Rechner Ihre Eingaben an die Webanwendung übermittelt, kann er Änderungen an der Art und Weise vornehmen, wie die Anwendung in Ihrem Browser ausgeführt wird.

    Wie kann ich Cross-Site-Scripting-Angriffe verhindern?

    Scripte sind von vornherein automatisierte Vorgänge, die zur Ausführung keine Eingaben von Ihnen benötigen. Diese Automatisierung macht es unmöglich, die meisten XSS-Angriffe zu erkennen, da Ihr Browser nicht weiß, welche Scripte legitim sind und welche von einem Hacker eingeschleust wurden. Reflektierte XSS-Angriffe sind eine Ausnahme von der Regel – es ist möglich, diese wie oben beschrieben zu vermeiden.

    Abgesehen davon liegt es in der Verantwortung des Administrators einer Website, XSS-Schwachstellen zu finden und zu schließen, bevor sie zum Angriff auf Benutzer ausgenutzt werden können.

    Maßnahmen gegen reflektierte Cross-Site-Scripting-Angriffe

    Bei reflektiertem Cross-Site-Scripting besteht die Herausforderung für den Angreifer darin, das Opfer dazu zu bringen, auf einen falschen Link zu klicken. Im Gegensatz zu den beiden anderen Arten von XSS-Angriffen haben Sie bei dieser Art von Angriff jedoch auch die Möglichkeit, ihn zu umgehen. Sie können reflektierte XSS-Angriffe vermeiden, indem Sie eine der bekanntesten bewährten Praktiken des Internets befolgen: Klicken Sie nicht auf verdächtige Links.

    Vermeiden Sie Cross-Site-Scripting-Angriffe, indem Sie nicht auf verdächtige Links klicken.

    Ignorieren Sie Links, die Sie finden in:

    • Website-Kommentarabschnitten, Foren und Message Boards.

    • E-Mails und Sofortnachrichten von unbekannten Absendern.

    • Beiträgen in sozialen Medien von Personen, die Sie nicht kennen.

    • Verdächtigen Nachrichten von Ihren Kontakten, die sich nicht nach ihnen anhören – sie könnten gehackt worden sein.

    Selbst diese Tipps sind allerdings nicht idiotensicher. Hacker können zum Beispiel Spoofing einsetzen, um den Anschein zu erwecken, dass ihre Nachrichten von vertrauenswürdigen Kontakten stammen. Oder sie können Sie mit effektiven Social-Engineering-Tricks zum Klicken verleiten. Seien Sie im Internet immer auf der Hut.

    Schützen Sie sich mit Avast Free Antivirus vor Cross-Site-Scripting

    XSS-Angriffe sind bekanntlich schwer zu erkennen, und Sie können sich nicht darauf verlassen, dass Ihr Browser Sie schützt. Setzen Sie sich aktiv gegen Cyberkriminelle zur Wehr, indem Sie eine leistungsstarke Sicherheitslösung verwenden, die Bedrohungen aller Art erkennt und verhindert. Avast Free Antivirus ist ein umfassendes Cybersicherheitstool, dem Hunderte Millionen Menschen auf der ganzen Welt vertrauen. Avast Free Antivirus überwacht Ihr Gerät und Ihre Netzwerkverbindung kontinuierlich auf Anzeichen von Bedrohungen und schützt Ihre wertvollen Daten selbst vor den raffiniertesten Hacking-Techniken.

    Schützen Sie Ihr Android-Gerät vor Bedrohungen

    mit dem kostenlosen Avast Mobile Security

    KOSTENLOSE INSTALLATION

    Schützen Sie Ihr iPhone vor Bedrohungen mit dem

    kostenlosen Avast Mobile Security

    KOSTENLOSE INSTALLATION