Cross-Site Scripting (XSS), CSRF und MySQL-Injection gehören zu den schlimmsten Bedrohungen im Internet. Wir erklären hier die technischen Grundlagen und sagen Ihnen, wie Sie Ihre Kunden vor diesen Gefahren schützen können.
XSS heißt eine Sicherheitslücke, durch die nahezu jedem Internetnutzer Gefahr droht. Vor allem in Foren und Weblogs, aber auch in online-basierten Anwendungen wie zum Beispiel Google Texte und Tabellen werden nahezu ununterbrochen XSS-Lücken entdeckt.
Cross-Site Scripting (die Abkürzung dafür lautet XSS und nicht wie eigentlich nahe liegenderweise CSS, weil CSS bereits als Kürzel für Cascading Stylesheets vergeben ist) besteht einfach gesagt darin, dass ein Angreifer Skript-Code in variable Bereiche auf einer Website oder in einer Internetanwendung an einer Stelle einfügt (und zur Ausführung bringt), wo dies eigentlich nicht möglich sein sollte beziehungsweise wo die Eingaben durch den Browser nicht ausreichend überprüft werden und in einem für den Anwender vertrauenswürdigen Context erscheinen.
XSS-Angriffe können mittels jeder von einem Browser interpretierbaren Skriptsprache erfolgen. Meist dürfte Javascript verwendet werden, aber auch VB-Skript/ASP.net oder ActiveScript (die Skriptsprache von Flash) sind möglich. In Javascript könnte ein ganz simples Script so aussehen:
<script>alert('XSS-Lücke eiskalt ausgenutzt')</script>
(Theoretisch sollte immer mit type="text/javascript“ beziehungsweise language=“javascript“ die genaue Skriptsprache angegeben werden. Unterbleibt jedoch die explizite Angabe der Skriptsprache, so gehen Browser standardmäßig davon aus, dass es sich um Javascript handelt).
Tippt man diesen Text in ein ungeschütztes Eingabefeld ein (das also Skripteingaben nicht mit geeigneten Programmiertechniken entschärft), dann sollte nach dem Abschicken des Formulars ein Pop-Up mit dem Text 'XSS-Lücker eiskalt ausgenutzt' aufgehen.
Wie Reseller ihren Kunden helfen können, die gesetzlichen Datenschutz-Bestimmungen einzuhalten, das erfahren Sie auf dem Channel-Sales-Day "Security" am 18. Mai in München. Hier können Sie sich für die kostenlose Veranstaltung anmelden.