Beim Cross-Site-Scripting (XSS) kombinieren Kriminelle scheinbar harmlose Webseitenaufrufe mit gefährlichem Schadcode. Haben Sie schon geprüft, ob Ihr eigener Internetauftritt gegen derartige Attacken geschützt ist? Erfahren Sie hier, wie trickreich die Angreifer:innen beim Cross-Site-Scripting vorgehen und mit welchen Maßnahmen Sie Ihre Website wirksam schützen.
Während Sicherheitsexpert:innen regelmäßig vor neuen Viren, Trojanern und Ransomware warnen, gehört das Cross-Site-Scripting (XSS) zu den unterschätzten Cybergefahren. Dabei ist es bis heute eine sehr effiziente Hackingtechnik.
Weltweit sind nach Schätzungen mehrere Millionen Websites unzureichend gegen XSS gesichert. Bei vielen bekannten Anbietern und Plattformen im Internet wie Facebook, ebay, Amazon oder WhatsApp wurden schon XSS-Lücken in deren Internetauftritten gefunden. Besonders gravierende Sicherheitslücken schaffen es regelmäßig in die Berichte des Fachforums Open Worldwide Application Security Project (OWASP). Doch wie genau funktioniert XSS und warum schützen viele Unternehmen und Organisationen ihre Websites nicht ausreichend?
Was ist XSS (Cross-Site-Scripting)?
Ziele von XSS-Attacken
-
fremde Benutzersitzungen übernehmen, beispielsweise eines Online-Einkaufs oder der Navigation auf einer besonders geschützten Webseite
-
fremdes Material in Webseiten einschleusen, um diese optisch zu entstellen (Website-Defacement) oder bestimmte Botschaften zu verbreiten
-
Phishing-Angriffe durchführen, um an fremde Log-in-Daten, Kreditkarteninformationen und Ähnliches zu gelangen
-
Kontrolle über fremde Browser oder Computer übernehmen
-
Banken und Kreditinstitute
-
Content-Management-Systeme (CMS)
-
Suchmaschinen – insbesondere solche Suchmaschinen, die in Firmen-Websites integriert sind
-
News-Skripte und -Anwendungen
-
Benutzeroberflächen für Hardware-Konfigurationen und Serveranwendungen, auch im IoT-Bereich
-
Behördliche Webseiten im In- und Ausland
-
Webseiten aus dem Bereich Verteidigung
-
Onlineshops und -marktplätze
-
Veraltete Webbrowser
-
Router, Firewalls und Gateways
-
UTM-Systeme (Unified-Threat-Management)
So funktionieren die Angriffe auf Webanwendungen
Die unterschiedlichen Arten von XSS
-
Dauer, für die der Schadcode bereitliegt (dauerhaft/persistent versus fallweise/reflektiert)
-
programmiertechnischer Methode der Infiltrierung
-
Computer, auf dem der Schadcode vorliegt (lokal bei der jeweiligen Zielperson oder global auf einem Webserver)
Reflective (Reflected) XSS
< script type =„text/javascript“ > alert („Sie sind Opfer einer XSS-Attackegeworden“); < /script >
-
den Browser auf eine dem vertrauenswürdigen Original nachempfundene Seite umleiten, die Bankdaten oder Passwörter abfragt
-
unerkannt Viren oder Trojaner herunterladen
-
Sitzungsdaten für eine aktuell bestehende Verbindung beispielsweise zum Online-Banking auslesen, um diese Verbindung dann selbst zu übernehmen
DOM-based XSS und lokales XSS
Persistent (Stored) XSS
Beispiele für XSS-Angriffe
< script > alert(document.cookie) < /script >
Darauf sollten Unternehmen besonders achten
-
Komplette oder teilweise Betriebsausfälle
-
Ausfall von Webseiten, einschließlich Shops, oder deren erhebliche Verlangsamung
-
Datendiebstähle jeglicher Art, sowohl in Form von Stammdaten als auch Zahlungsdaten
-
Einschleusung weiterer Schadsoftware in unzureichend geschützte Systeme
-
Imageverlust durch den Verlust persönlicher Daten von Mitarbeiter:innen und Kund:innen
-
Verurteilung zu einer Geldstrafe wegen Verstoß gegen die Datenschutzgrundverordnung (Weitergabe von persönlichen Daten)
-
Wettbewerbsnachteile, beispielsweise durch Industriespionage
Prävention: So verhindern Sie wirksam XSS-Angriffe
So bauen Sie serverseitigen Schutz gegen XSS-Attacken auf
-
Installieren Sie stets die neuesten Versionen der Betriebssysteme auf Ihren Servern.
-
Halten Sie diese durch automatische Updates auf dem neuesten Stand.
-
Noch besser: Nutzen Sie die Public- und Private-Cloud-Angebote etablierter Anbieter.
-
Fangen Sie jegliche Eingaben mit Sonderzeichen in Kontaktformularen, URLs und Co. ab und verbieten Sie diese auf Ihren Webseiten.
-
Lehnen Sie automatisierte Seitenaufrufe ab, die Skript-Marker wie „< script >“ enthalten.
-
Prüfen Sie grundsätzlich alle Inhalte von Drittanbietern, die Sie in Ihre eigene Website integrieren.
-
Kontrollieren Sie regelmäßig die Logfiles Ihrer Website und suchen Sie dort nach auffälligen Seitenaufrufen. Nutzen Sie entsprechende Sicherheitstools, die diese Arbeit automatisiert für Sie erledigen – Stichwort: SIEM/SOAR.
-
Führen Sie regelmäßig sogenannte Penetrationstests durch oder nutzen Sie Angebote aus dem Bereich des Ethical Hacking: Dabei untersuchen Expert:innen Ihre Website gezielt auf mögliche Schwachstellen – ohne jedoch Schäden zu verursachen.
So verhindern Sie clientseitig XSS-Angriffe
-
Sorgen Sie dafür, dass auch die Client-Rechner in Ihrem Unternehmen stets über die neuesten Updates verfügen – egal, ob Windows-, macOS- oder Linux-basiert.
-
Achten Sie darauf, dass Ihre Mitarbeiter:innen stets die neuesten Browser-Updates verwenden.
-
Verhindern Sie, dass Mitarbeiter:innen sich lokal mit Administratorrechten anmelden.
-
Prüfen Sie, ob Sie je nach Bedrohungslage auf Ihren Geräten weitere Sicherheitspakete installieren sollten – zusätzlich zum vorhandenen Viren- und Firewall-Schutz.
-
Lassen Sie keine Client-Computer längere Zeit unbeobachtet laufen. Diese sind zumindest im internen Netz mit ihrer IP-Adresse erreichbar und könnten durch Cybervorfälle auf internen Webservern ebenfalls kompromittiert werden.
-
Sorgen Sie für ein ordnungsgemäß abgeschottetes internes Netzwerk mit VPN-Einwahl und hängen Sie Ihr WLAN-Passwort nicht sichtbar im Büro auf.
-
Falls Mitarbeiter:innen eigene Geräte mitbringen dürfen (BYOD-Modell), achten Sie darauf, dass diese Geräte Ihren hauseigenen Sicherheitsrichtlinien entsprechen.
Das Wichtigste zu Cross-Site-Scripting in Kürze
-
Beim Cross-Site-Scripting (XSS) versenden Hacker:innen Schadcode mithilfe vertrauenswürdiger Websites.
-
Viele aktuelle Webseiten sind unzureichend gegen den Missbrauch als Schadcode-Versender abgesichert.
-
Unternehmen sollten geeignete Maßnahmen ergreifen, um ihre Kund:innen und Mitarbeiter:innen sowie die eigenen Server vor XSS-Attacken zu schützen. Bei Verstößen drohen gravierende Folgen und hohe Geldstrafen.
-
Angriffe per XSS sind oft der Anfang einer Serie von Hackingattacken. Mithilfe gekaperter Webserver können Hacker:innen persönliche Daten stehlen oder Schadsoftware an Dritte versenden.
-
Eine offene Fehlerkultur im Unternehmen ist wichtig, um Cyberattacken schneller zu erkennen und abzuwehren.
Quelle:
https://www.vodafone.de/business/blog/cross-site-scripting-15873/