View Categories

Cross-Site-Scripting

3 min read

Cross-Site-Scripting (XSS) ist eine Sicherheitslücke in Webanwendungen, bei der Angreifer Schadcode meist in Form von JavaScript in Webseiten einschleusen, die eigentlich als vertrauenswürdig gelten. Der eingeschleuste Code wird dann im Browser anderer Nutzer ausgeführt, was Manipulationen, Datendiebstahl oder Phishing ermöglicht.
XSS zählt seit vielen Jahren zu den häufigsten Schwachstellen im Web und wird regelmäßig in den OWASP (Open Worldwide Application Security Project) Top 10 der kritischsten Web-Risiken aufgeführt.

Wie funktioniert Cross-Site-Scripting?

Beim Cross-Site-Scripting wird eine Schwachstelle im Umgang mit Benutzereingaben ausgenutzt.
Viele Websites verarbeiten Nutzereingaben etwa in Suchmasken, Formularen, Kommentarfeldern oder Profilseiten. Wenn diese Eingaben ungeprüft oder unzureichend codiert in die Webseite eingebunden werden, kann ein Angreifer dort schädlichen Code platzieren.

Der Browser der Opfer führt diesen Code aus, als stamme er von der legitimen Seite. Dadurch vertraut er dem Skript und gibt beispielsweise Sitzungs- oder Authentifizierungsdaten preis, verändert Inhalte oder leitet den Nutzer unbemerkt weiter.

Arten von XSS-Angriffen

  1. Reflektiertes XSS
    Der Schadcode wird direkt über eine manipulierte URL oder Anfrage eingeschleust. Er wird nicht auf dem Server gespeichert, sondern reflektiert in der Antwort zurück. Diese Variante tritt häufig in Suchfeldern oder Login Bereiche auf.
  2. Persistentes XSS
    Hier wird der bösartige Code dauerhaft auf dem Server gespeichert etwa in einem Kommentar oder Nutzerprofil. Jeder Besucher, der die betroffene Seite aufruft, wird automatisch Opfer des Angriffs.
  3. DOM-basiertes XSS
    Diese Variante entsteht im Browser selbst, wenn clientseitige Skripte (z. B. JavaScript-Bibliotheken) Daten aus der URL, dem DOM oder anderen Quellen unkontrolliert verarbeiten. Der Server erkennt dabei oft gar keine Auffälligkeit.

Auswirkungen von XSS-Angriffen

Ein erfolgreicher XSS-Angriff kann schwerwiegende Folgen haben, sowohl für Nutzer als auch für Webseitenbetreiber:

  • Diebstahl von Session Cookies oder Tokens, wodurch sich Angreifer als Benutzer ausgeben können.
  • Manipulation der Website Inhalte zum Beispiel das Einschleusen von gefälschten Login Fenstern.
  • Verbreitung von Schadsoftware über infizierte Seiten oder Skripte.
  • Rufschädigung für betroffene Unternehmen, da Besucher der kompromittierten Seite die Sicherheit in Frage stellen.

XSS ist nicht nur ein technisches Problem, sondern auch ein Vertrauensproblem:
Eine Website, die Schadcode ausführt, gefährdet nicht nur die Sicherheit der Nutzer, sondern auch die eigene Reputation.
Gerade für Online-Shops, Kundenportale oder soziale Netzwerke ist die Prävention daher essenziell.

Unternehmen, die personenbezogene Daten verarbeiten, riskieren zudem Verstöße gegen Datenschutzgesetze (z. B. DSGVO), wenn durch XSS-Angriff Daten unbefugt offengelegt werden.

Ursachen und typische Fehler

XSS entsteht fast immer durch mangelnde Prüfung oder Codierung von Nutzereingaben. Häufige Ursachen sind:

  • Keine oder unvollständige HTML-/JavaScript-Escapes bei der Ausgabe von Eingaben.
  • Übermäßige Nutzung dynamischer Skripte ohne sichere Filtermechanismen.
  • Veraltete oder unsichere Frameworks, die keine standardmäßigen XSS-Schutzfunktionen nutzen.
  • Fehlendes Sicherheitsbewusstsein bei der Entwicklung von Web-Formularen und interaktiven Inhalten.

Schutzmaßnahmen

Für Entwickler

  • Eingabevalidierung: Prüfen Sie alle Benutzereingaben serverseitig und ggf. zusätzlich clientseitig.
  • Ausgabe-Codierung: Escapen Sie Daten immer kontextabhängig (HTML, JS, CSS, URL).
  • Content Security Policy (CSP): Beschränkt die Ausführung externer Skripte und reduziert dadurch die Angriffsfläche.
  • Regelmäßige Sicherheitstests: Nutzen Sie Tools, um Schwachstellen frühzeitig zu erkennen.

Für Endnutzer

  • Browser und Plug-ins aktuell halten.
  • Vorsicht bei verdächtigen Links, besonders in E-Mails oder sozialen Netzwerken.
  • Wenn möglich, Skripte nur von vertrauenswürdigen Seiten zulassen.

Fazit

Cross-Site-Scripting ist ein klassisches, aber immer noch aktuelles Sicherheitsproblem im Web.
Die Ursachen liegen meist in unsauberer Eingabe- und Ausgabeverarbeitung, doch mit konsequenter Entwicklungspraxis, sicheren Frameworks und aktiver Wartung lassen sich XSS-Risiken weitgehend eliminieren.

Ein bewusster Umgang mit Benutzereingaben und regelmäßige Sicherheitsprüfungen sind der wirksamste Schutz gegen diese Angriffsart.