XSS

Cross-Site-Scripting heißt der Begriff für die Abkürzung ,,XSS‘‘. Der Begriff kommt aus dem englischen und lautet in das deutsche übersetzt, Webseitenübergreifendes Scripting. Als XSS bezeichnet man die Ausnutzung der Sicherheitslücken eines Computers in sog. Werbeanwendungen. Dies geschieht dadurch, dass aus unsicherem Kontext gewisse Informationen, in einen anderen Kontext hinzugefügt werden, dass jedoch sicher und vertrauenswürdig ist. Technisch angesehen, stellt das XSS ein Exploit dar, bei dem ein Angreifer in eine legale Webseite Codes hinzufügt und beim Laden dieser Seite durch das Opfer, diese Codes heruntergeladen werden. Der Angreifer kann diesen Code auf eine Webseite auf unterschiedlichem Wege hinzufügen, das ist möglich z.B. durch direkte Posten dieser Codes auf eine Webseite oder das Anhängen dieser Codes am Ende des URL. Häufig wird diese Art des Angriffs statt Cross-Site-Scripting auch als ein Angriff der clientseitiger Code-Injection-Angriffs, genannt. Das Ziel dieses Angriffs ist es die privaten und sensiblen Daten des Opfers zu erlangen, damit dieser den Zugang an den Konten des Opfers erlangt und sich selbst als der Opfer ausgeben kann. Ein solcher erfolgreicher Angriff stellt juristisch gesehen, ein Identitätsdiebstahl dar. Erfolgreich ist jedoch so ein Angriff erst dann, wenn die App der Webseite ungenügend Validierungen und Codierungen nutzt. Der Browser des Opfers kann nämlich dadurch nicht feststellen, dass es sich bei dem Skript und ein nicht vertrauenswürdiges handelt und erlaubt so den Zugang auf bestimmte Cookies, Webseiten Informationen und Konten des Opfers, sodass der HTML- Inhalt einfach durch das vertrauensunwürdige Skript statuiert wird.