Was ist Cross-Site Scripting (XSS) und warum ist es eine Sicherheitsbedrohung?
Cross-Site-Scripting-Schwachstellen sind heute das größte Sicherheitsproblem für Websites. Studien haben gezeigt, dass sie schockierend häufig sind. Laut dem letzten Bericht von White Hat Security, der im Juni 2012 veröffentlicht wurde, hatten im Jahr 2011 55% der Websites XSS-Schwachstellen. Während die meisten Leute von Computerviren gehört haben All Time Eine kurze Geschichte der 5 schlechtesten Computerviren aller Zeiten Das Wort "Virus" und seine Verbindung mit Computern wurde vom amerikanischen Computerwissenschaftler Frederick Cohen angebracht, der es verwendete, um "ein Programm zu beschreiben, das andere Programme" infizieren "kann, indem es sie modifiziert Um möglicherweise ein Problem zu lösen, bleiben XSS-Schwachstellen dem Durchschnittsbürger unbekannt.
Durch eine Sicherheitslücke, die durch Cross-Site-Scripting verursacht wird, kann ein Angreifer beliebigen JavaScript-Code (von einer anderen Website) auf einer Webseite ausführen. Der Code wird auf der Webseite im Browser des Benutzers ausgeführt.
Ein Beispiel - der Twitter-StalkDaily-Wurm
Werfen wir einen Blick auf einen XSS-Angriff, der mit Twitter in der Vergangenheit aufgetreten ist. Im Jahr 2009, der StalkDaily-Wurm Was ist der Unterschied zwischen einem Wurm, einem Trojaner und einem Virus? [MakeUseOf erklärt] Was ist der Unterschied zwischen einem Wurm, einem Trojaner und einem Virus? [MakeUseOf erklärt] Einige Leute bezeichnen jede Art von Schadsoftware als "Computervirus", aber das ist nicht genau. Viren, Würmer und Trojaner sind verschiedene Arten von schädlicher Software mit unterschiedlichem Verhalten. Insbesondere verbreiten sie sich in ganz Twitter. Wenn ein Twitter-Benutzer die Profilseite eines infizierten Benutzers besuchte, wurde auch dessen Profilseite infiziert und verbreitete den Wurm. Der Wurm verschickte auch Tweets von jedem infizierten Konto.
Wie genau funktionierte der Wurm StalkDaily? Hat jemand die Webserver von Twitter gehackt? Nicht ganz - obwohl es eine Art Hack war.
Jeder Twitter-Nutzer kann auf seiner Profilseite eine kurze Biografie einstellen. Benutzer geben Text in ein Profilfeld ein. Sobald sie das Profil gespeichert haben, wird der Text auf ihrer Profilseite angezeigt. Jemand stellte fest, dass Twitter die Texteingabe aus der Bio-Box nicht ordnungsgemäß bereinigt hat (wir werden später darauf eingehen) - er hat die eingegebenen Textbenutzer direkt in den Quellcode der Webseite eingefügt. Dies erlaubte einem Benutzer, einen HTML-Code einzugebenL