Holen Sie sich Avast One für iPhone, um Hacker und Malware besser zu blockieren
- Sicherheit
- Privatsphäre
- Leistung
Cross-Site-Scripting, auch als XSS bekannt, ist eine Cyberattacke, bei der ein Hacker bösartigen Code in eine legitime Webseite einschleust. Erfahren Sie, woher XSS-Angriffe kommen und wie sie funktionieren, und finden Sie dann heraus, wie Sie sich mit einer erstklassigen Sicherheitslösung wie Avast One gegen alle Arten von Online-Bedrohungen schützen können.
/Cross-site_scripting_XSS-Hero.png?width=1200&name=Cross-site_scripting_XSS-Hero.png)
Ein XSS-Angriff ist eine Art Code-Injection-Angriff, eine breite Kategorie von Cyberkriminalität. Um einen dieser Injection-Angriffe auszuführen, fügt ein Hacker seinen eigenen Code in ein anfälliges Programm ein (Injection). Einige Angriffe verändern die Ausführung des Programms vollständig, andere fügen zusätzliche Ergebnisse hinzu, wie das Herunterladen von Malware auf den Computer des Opfers oder den Diebstahl persönlicher Daten.
Dieser Artikel enthält:
In der Computerprogrammierung ist ein Skript eine Reihe von Anweisungen, die einem Programm mitteilen, was es tun soll. Hacker können Schwachstellen im Code einer Website ausnutzen, um ihre eigenen bösartigen Skripte einzuschleusen, die das Verhalten der Website in irgendeiner Weise verändern.
Ihr Browser kann keinen Unterschied zwischen dem legitimen Code der Website und dem von einem Cyberkriminellen eingefügten Code erkennen. Ihr Browser führt automatisch alle Scripte auf einer bestimmten Website aus, so dass er den Code des Hackers zusammen mit allen anderen ausführt.
Mithilfe von XSS können Hacker legitime Websites in Fallen verwandeln. Normales Surfen wird gefährlich, wenn Sie auf einer Website landen, die mit versteckten bösartigen Skripte infiziert ist. Was noch schlimmer ist: XSS bedeutet, dass der Hacker nicht jedes Opfer direkt angreifen muss – er kann sich zurücklehnen und die infizierten Websites die ganze Arbeit machen lassen und so viel mehr Menschen gleichzeitig erreichen.
Hinter jeder Website verbirgt sich ein Haufen Code, der in einer Auszeichnungssprache namens HTML geschrieben ist. Computerprogramme, z. B. Webanwendungen, verwenden Auszeichnungssprachen, um Code von normalem Text zu unterscheiden.
Eine Webanwendung ist ein per Fernzugriff gespeichertes Programm, das Ihnen über Ihren Internetbrowser auf Ihrem Computer zur Verfügung gestellt wird. Gängige Beispiele sind Webmail-Dienste und Online-Shops. Während Sie Eingaben in die Webanwendung eingeben, interpretiert und bearbeitet diese Ihre Anfragen auf ihrem Server und gibt die Ergebnisse dann an Sie in Ihrem Browser weiter. Der Unterschied zwischen Webanwendungen und nativen Apps besteht darin, dass letztere „traditionelle“ Programme sind, die vollständig auf Ihrem Gerät installiert und ausgeführt werden.
Websites, die ausschließlich in HTML geschrieben sind, können sich nicht dynamisch an Benutzereingaben anpassen. Damit Webanwendungen ihre Aufgabe erfüllen können, mischen Programmierer HTML mit zusätzlichen Sprachen wie JavaScript, einer fortgeschritteneren Sprache, die es Websites ermöglicht, in Echtzeit auf Ihre Befehle zu reagieren. Wenn Sie beispielsweise in einem Bekleidungsgeschäft stöbern und in einem Dropdown-Menü „Pullover“ auswählen, weist JavaScript die Website an, Ihnen alle Pullover – und nur Pullover – anzuzeigen, die Sie kaufen können.
Während HTML auf der Serverseite (Server-Side) ausgeführt wird, läuft JavaScript auf Ihrem Rechner (Client-Side). Die meisten XSS-Angriffe verwenden HTML oder JavaScript, und dieser Unterschied ist wichtig, um zu verstehen, wie die verschiedenen Arten von XSS-Angriffen funktionieren.
XSS-Angriffe sind in der Regel nicht so gefährlich wie andere Arten von Code-Injection-Angriffen, z. B. SQL-Injection. Browser neigen dazu, JavaScript-Inhalte an der kurzen Leine zu halten, aber ein geschickter Hacker kann innerhalb dieser Grenzen arbeiten, um eine Reihe von Benutzerdaten zu erlangen. Viele XSS-Angriffe zielen darauf ab, beim Anzeigen der infizierten Webseite die Sitzungs-Cookies des Opfers zu übernehmen. Mit diesen Cookies kann der Hacker im Namen des Opfers handeln und auf dessen persönliche Daten wie Benutzernamen und Passwörter zugreifen, um sie für weitere Cyberkriminalität zu verwenden. Auf einem E-Commerce-Portal können diese Daten sogar Kredit- und Debitkartennummern enthalten. Durch XSS kann eine legitime Webseite in ein Phishing-Portal verwandelt werden. Ein Hacker kann XSS beispielsweise nutzen, um ein gefälschtes Anmeldeformular zu erstellen, das die Anmeldedaten des Opfers abfängt, wenn sie übermittelt werden. Es könnte auch ein Keylogger eingeschleust werden, der die Tastatureingaben des Opfers aufzeichnet, während es sich auf der betroffenen Seite befindet. Bösartige Skripte können sogar Malware auf die Computer der Opfer herunterladen, um die Voraussetzungen für Folgeangriffe zu schaffen. Da jede Webseite HTML verwendet und die meisten Webseiten auch JavaScript einsetzen, muss ein Hacker nur eine Seite finden, die er ausnutzen kann. Aus diesem Grund ist XSS eine der häufigsten Sicherheitslücken in der heutigen Software. Nicht nur ist XSS sehr weit verbreitet, es ist auch unglaublich schwer zu entdecken, weil Hacker bösartigen Code in ansonsten seriöse Webseiten einfügen können. Die Besitzer dieser vertrauenswürdigen Websites sind möglicherweise nicht in der Lage, den bösartigen Code zu erkennen oder zu entfernen. Anstatt darauf zu warten, dass der XSS-Code entfernt wird – oder jeder Website im Internet paranoid zu werden –, ist es am besten, ein robustes Cybersicherheitstool zu verwenden.
Avast One stoppt XSS bereits im Ansatz, sodass Sie nie Gefahr laufen, Ihre persönlichen Daten an einen Hacker weiterzugeben. Außerdem bietet es Rund-um-die-Uhr-Schutz vor bösartigen Links, infizierten E-Mail-Anhängen und allen anderen Online-Bedrohungen, die es gibt.
Es gibt drei grundlegende Kategorien von XSS-Angriffen. Die ersten beiden – reflektierte und gespeicherte – betreffen Code-Manipulationen auf dem Webanwendungsserver, während DOM-basierte XSS-Angriffe eine neuere Kategorie sind, die ausschließlich auf dem Gerät des Opfers funktionieren.
Reflektiertes XSS ist die einfachste und häufigste der drei Arten von XSS-Angriffen. Er ist am einfachsten auszuführen und (wie in der Regel in solchen Situationen) auch am leichtesten zu erkennen und zu vermeiden. Es ist sogar die einzige Art, die Sie realistischerweise selbst erkennen können, ohne die Hilfe von Antivirus-Software. Reflektiertes XSS, auch bekannt als nicht-persistente Angriffe, erfordert, dass die Opfer auf bösartige Links klicken, die bereits mit dem Script des Hackers präpariert wurden. Der Browser des Opfers sendet die geladene Anfrage an den Server der Webseite; anschließend wird sie über eine infizierte Seite an das Opfer „reflektiert“. Der Hacker muss nicht in die Webseite selbst eindringen, aber er muss potenzielle Opfer davon überzeugen, auf seine infizierten Links zu klicken. Es ist ein Kompromiss zwischen technischer Raffinesse und Social Engineering.
Während reflektierte XSS-Angriffe jedes Mal aktiv über einen bösartigen Link eingeleitet werden müssen, wird diese Einschränkung durch gespeichertes XSS überwunden. Gespeicherte XSS-Angriffe ermöglichen es Hackern, ihre Scripte dauerhaft direkt in eine Website zu injizieren und jeden Benutzer zu infizieren, der sie besucht. Aus diesem Grund werden sie auch als persistente Cross-Site-Scripting-Angriffe bezeichnet. Gespeicherte XSS-Angriffe sind komplizierter als ihre reflektierten Gegenstücke, denn ein Hacker benötigt eine Webseite mit:
genügend Traffic, damit sich ein Angriff lohnt, und
einer Sicherheitsschwachstelle, die mit gespeicherten XSS-Angriffen angegriffen werden kann.
Wenn ein Hacker dies jedoch schafft, kann er eine viel größere Anzahl potenzieller Opfer angreifen – jeder, der eine infizierte Website aufruft, bekommt die bösartigen Skripte an seinen Browser übermittelt. Aus diesem Grund ist es fast unmöglich, gespeichertes XSS zu erkennen. Es gibt keine Warnzeichen, die Verdacht erregen, bis es zu spät ist.
Bei DOM-basierten XSS-Angriffen verändern die Hacker die Interaktion zwischen Ihrem Browser und den von Ihnen besuchten Websites, indem sie die Art und Weise ändern, wie diese Websites Ihre Eingaben an Sie zurückgeben. Während reflektierte und gespeicherte XSS-Angriffe das HTML auf der Serverseite beeinflussen, überspringen DOM-basierte XSS-Angriffe all das und konzentrieren sich ausschließlich auf das, was Ihr Browser tut. Erinnern Sie sich noch daran, dass die meisten Webseiten JavaScript verwenden, um dynamische Funktionen zu aktivieren? Es ist JavaScript, das die Dinge auf Ihrer Seite erledigt und der Website mitteilt, wie sie auf Ihre Befehle reagieren soll. Wenn ein Hacker den Prozess abfangen kann, mit dem JavaScript auf Ihrem Rechner Ihre Eingaben an die Webanwendung übermittelt, kann er Änderungen an der Art und Weise vornehmen, wie die Anwendung in Ihrem Browser ausgeführt wird.
Scripte sind von vornherein automatisierte Vorgänge, die zur Ausführung keine Eingaben von Ihnen benötigen. Diese Automatisierung macht es unmöglich, die meisten XSS-Angriffe zu erkennen, da Ihr Browser nicht weiß, welche Scripte legitim sind und welche von einem Hacker eingeschleust wurden. Reflektierte XSS-Angriffe sind eine Ausnahme von der Regel – es ist möglich, diese wie oben beschrieben zu vermeiden. Abgesehen davon liegt es in der Verantwortung des Administrators einer Webseite, XSS-Schwachstellen zu finden und zu schließen, bevor sie zum Angriff auf Benutzer ausgenutzt werden können.
Bei reflektiertem Cross-Site-Scripting besteht die Herausforderung für den Angreifer darin, das Opfer dazu zu bringen, auf einen falschen Link zu klicken. Im Gegensatz zu den beiden anderen Arten von XSS-Angriffen haben Sie bei dieser Art von Angriff jedoch auch die Möglichkeit, ihn zu umgehen. Sie können reflektierte XSS-Angriffe vermeiden, indem Sie eine der bekanntesten bewährten Praktiken des Internets befolgen: Klicken Sie nicht auf verdächtige Links.
Ignorieren Sie Links, die Sie finden in:
Website-Kommentarabschnitten, Foren und Message Boards.
E-Mails und Sofortnachrichten von unbekannten Absendern.
Beiträgen in sozialen Medien von Personen, die Sie nicht kennen.
Verdächtigen Nachrichten von Ihren Kontakten, die sich nicht nach ihnen anhören – sie könnten gehackt worden sein.
Selbst diese Tipps sind allerdings nicht idiotensicher. Hacker können zum Beispiel Spoofing einsetzen, um den Anschein zu erwecken, dass ihre Nachrichten von vertrauenswürdigen Kontakten stammen. Oder sie können Sie mit effektiven Social-Engineering-Tricks zum Klicken verleiten. Seien Sie im Internet immer auf der Hut.
XSS-Angriffe sind bekanntlich schwer zu erkennen, und Sie können sich nicht darauf verlassen, dass Ihr Browser Sie schützt. Setzen Sie sich aktiv gegen Cyberkriminelle zur Wehr, indem Sie eine leistungsstarke Sicherheitslösung verwenden, die Bedrohungen aller Art erkennt und verhindert.
Avast One ist ein umfassendes Cybersicherheitstool, dem Hunderte Millionen Menschen vertrauen, rund um den Globus. Avast überwacht Ihr Gerät und Ihre Netzwerkverbindung kontinuierlich auf Anzeichen von Bedrohungen und schützt Ihre wertvollen Daten selbst vor den raffiniertesten Hacking-Techniken.