Was ist ein XSS-Angriff und was können Sie dagegen tun?
Die Welt beginnt mit etwas zu wecken, das als Cross-Site Scripting (XSS) Schwachstelle bekannt ist. Während ich glaube, dass es eine gute Sache ist, dass das Thema in Websites auf der ganzen Welt behandelt wird, denke ich nicht, dass es sehr gut für uns ist, nicht zu wissen, was es ist. Schließlich sind die meisten XSS-Angriffe durch das potentielle Opfer vermeidbar. Im Internet liegt es in Ihrer Verantwortung, sich gegen jede Bedrohung zu wappnen, damit Sie nicht Opfer werden. Um zu verstehen, wie Sie sich vor XSS schützen können, müssen Sie zunächst wissen, was XSS ist und wie es Sie beeinflussen kann und wie Sie es verhindern können.
Was ist XSS?
Die Definition ist in ihrem Namen. Ein XSS-Angriff wird ausgeführt, indem eine URL so geändert wird, dass bestimmte Skripts in sie eingefügt werden können. Sie können beispielsweise festlegen, dass innerhalb eines Rahmens des URL-Ziels eine vollständig andere Website angezeigt wird.
Sehen Sie sich ein Beispiel für die geänderte URL an:
Sehen Sie, wo das Skript injiziert wurde? In diesem Beispiel ist es ziemlich einfach, weil es mit "" beginnt. Hacker tun dies, um ahnungslose Zuschauer in Seiten zu locken, die ihren Browser entführen könnten.
Wie wirkt sich XSS auf Sie aus?
XSS kann auf verschiedene Arten verwendet werden. Einige können nur einen Link auf Twitter veröffentlichen, der die schädliche URL enthält. Twitter erledigt die Hälfte der Arbeit für sie, indem er die URL teilweise verdeckt. Kontextverknüpfungen in nicht vertrauenswürdigen Blogs und Websites können URLs enthalten, die durch den "Ankertext" maskiert sind (was eine weitere raffinierte Art ist, um Text zu beschreiben, der unterstrichen und blau ist).
Wenn Sie auf den Link klicken, kann eine Reihe von Dingen passieren. Im besten Fall erleben Sie einfach einen "Streich" an sich. Mit anderen Worten, Sie werden auf eine Seite mit einer Menge gefälschter Inhalte weitergeleitet, die möglicherweise der Gruppe, die den XSS-Angriff durchgeführt hat, Anerkennung zollt. Im schlimmsten Fall wird Ihr Browser alptraumhafte Symptome haben. Möglicherweise haben Sie Ihre Homepage geändert, und aufgrund von ausgeführter Malware können auf Ihrem Computer verschiedene Belästigungen auftreten.
XSS kann auch verwendet werden, um Sie zu verfolgen, indem Sie Cookies auf Ihrem Computer ohne Ihre Zustimmung installieren. Die Erfassung dieser Daten könnte es Hackern ermöglichen, eine "digitale Bevölkerungsgruppe" der Personen besser zu verstehen, auf die sie für zukünftige Malware-Infektionen abzielen. In diesem Fall bemerken Sie möglicherweise gar nichts von Ihrem Computer oder Mobilgerät.
Wie gefährlich ist XSS?
Alles in allem ist XSS normalerweise nicht sehr gefährlich. Es mag ärgerlich sein, aber es wird keine langfristigen Folgen haben, zumindest nicht auf kurze Sicht. Achten Sie jedoch auf Kombinationen zwischen XSS-Angriffen und anderen bösartigen Verhaltensweisen!
Nehmen wir zum Beispiel an, dass Facebook anfällig für XSS ist. Ein Hacker kann einfach eine gefälschte Anmeldeseite in die Facebook-URL einfügen. Du würdest dich erfolgreich anmelden (da die gefälschte Seite deine Zugangsdaten sowohl an Facebook als auch an die eigene Datenbank senden kann), aber der Hacker hat jetzt deinen Benutzernamen und dein Passwort. Hier zeigt sich die wahre Gefahr von XSS.
Wie man sich gegen XSS schützt
Eines Tages wird XSS einfach der Vergangenheit angehören. Aber bis dahin musst du lernen, dich davor zu bewahren, in die XSS-Falle zu fallen. Jedes Mal, wenn Sie eine Seite eingeben, sehen Sie sich die URL an. Wenn es irgendetwas gibt, das anzeigt, dass dort ein Skript ist (wie die "" Zeichen, die ein Wort umgeben), dann ist es klug, Ihre Diskretion zu verwenden und vielleicht zu gehen. Beobachten Sie auch die URLs zu Links. Klicken Sie mit der rechten Maustaste auf jeden Link und kopieren Sie ihn in Ihre Zwischenablage. Fügen Sie die URL in Ihre Notepad-Anwendung ein und überprüfen Sie sie, bevor Sie überhaupt hineingehen.
Wenn du eine Website hast, die du selbst entwickelst, lies diesen Spickzettel. Dies schützt Sie und Ihre Besucher vor XSS. Schicken Sie den Spickzettel an alle Webentwickler, die Sie kennen. Sie würden es schätzen.
Wenn Sie weitere Fragen zu XSS haben, lassen Sie es in einem Kommentar unten stehen!