Kapitel 10. Cross-Site Scripting
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Cross-Site Scripting (XSS)-Schwachstellen gehören zu den häufigsten Schwachstellen im Internet. Sie sind eine direkte Reaktion auf die zunehmende Benutzerinteraktion in den heutigen Webanwendungen.
Im Kern funktioniert ein XSS-Angriff, indem er die Tatsache ausnutzt, dass Webanwendungen Skripte in den Browsern der Nutzer ausführen. Jede Art von dynamisch erstelltem Skript, das ausgeführt wird, stellt ein Risiko für eine Webanwendung dar, wenn das ausgeführte Skript in irgendeiner Weise verunreinigt oder verändert werden kann - insbesondere durch einen Endbenutzer.
XSS-Angriffe werden auf verschiedene Arten kategorisiert, wobei die drei wichtigsten sind:
-
Gespeichert (der Code wird vor der Ausführung in einer Datenbank gespeichert)
-
Reflektiert (der Code wird nicht in einer Datenbank gespeichert, sondern von einem Server reflektiert)
-
DOM-basiert (Code wird sowohl im Browser gespeichert als auch ausgeführt)
Es gibt zwar noch weitere kategorische Varianten, aber diese drei umfassen die Arten von XSS, auf die die meisten modernen Webanwendungen regelmäßig achten müssen. Diese drei Arten von XSS-Angriffen wurden von Gremien wie dem Open Web Application Security Project (OWASP) als die häufigsten XSS-Angriffsvektoren im Internet bezeichnet. Wir werden auf alle drei Arten näher eingehen, aber zunächst wollen wir uns ...
Get Web Application Security, 2. Auflage now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
