Berlin +49 30 120 856 32 mail@dlx-media.com
Kontakt
XSS (Cross-Site Scripting)

XSS (Cross-Site Scripting)

XSS (Cross-Site Scripting) ist eine Sicherheitslücke, bei der Angreifer schädlichen Code in Webseiten einschleusen, um Nutzerdaten zu stehlen oder Seiten zu manipulieren.

Was ist Cross-Site Scripting (XSS)?

Cross-Site Scripting, kurz XSS, ist eine der bekanntesten Sicherheitslücken bei Webseiten. Dabei gelingt es einem Angreifer, schädlichen Code (meist JavaScript) in eine eigentlich vertrauenswürdige Webseite einzuschleusen. Dieser Code wird dann im Browser der Besucher ausgeführt, ohne dass diese es bemerken. Da der Code von einer Seite stammt, der die Nutzer vertrauen, kann er erheblichen Schaden anrichten.

Für Webseitenbetreiber ist XSS ein wichtiges Thema, denn betroffen sind nicht nur die Besucher, sondern auch der Ruf und die Sicherheit der eigenen Webseite. XSS gehört zu den häufigsten Schwachstellen im Web und wird in der bekannten Sicherheitsliste OWASP Top 10 regelmäßig aufgeführt.

Wie entsteht eine XSS-Lücke?

Die Ursache ist fast immer dieselbe: Eine Webseite übernimmt Eingaben von Nutzern und gibt sie ungeprüft wieder aus. Überall dort, wo Besucher etwas eingeben können, das anschließend angezeigt wird, kann eine Schwachstelle entstehen, etwa in:

  • Kommentarfeldern und Gästebüchern
  • Suchfeldern, die den Suchbegriff auf der Ergebnisseite anzeigen
  • Kontakt- und Anmeldeformularen
  • Profil- oder Foreneinträgen

Vereinfacht gesagt: Wenn eine Seite das, was ein Nutzer eingibt, ohne Prüfung als Teil der Webseite behandelt, kann ein Angreifer statt harmlosem Text auch Programmcode unterbringen.

Die Arten von XSS

Man unterscheidet üblicherweise drei Grundformen, die sich darin unterscheiden, wie der schädliche Code zum Opfer gelangt:

  • Stored XSS (gespeichert): Der schädliche Code wird dauerhaft auf der Webseite gespeichert, etwa in einem Kommentar, und bei jedem Aufruf an alle Besucher ausgeliefert. Die gefährlichste Variante, weil sie viele Nutzer auf einmal trifft.
  • Reflected XSS (reflektiert): Der Code ist Teil eines manipulierten Links und wird nur ausgeführt, wenn ein Nutzer diesen speziellen Link aufruft. Solche Links werden oft per E-Mail oder über andere Kanäle verbreitet.
  • DOM-based XSS: Die Lücke entsteht erst im Browser selbst, durch fehlerhaftes JavaScript auf der Seite, ohne dass der Server direkt beteiligt ist.

Welchen Schaden kann XSS anrichten?

Da der eingeschleuste Code im Browser des Besuchers mit den Rechten der vertrauenswürdigen Seite läuft, sind die möglichen Folgen ernst:

  • Diebstahl von Sitzungsdaten: Angreifer können Anmeldedaten oder Sitzungsinformationen abgreifen und so Konten übernehmen.
  • Manipulation der Seite: Inhalte können verändert oder gefälschte Eingabefelder eingeblendet werden, um Daten abzufangen.
  • Weiterleitung auf schädliche Seiten: Besucher können unbemerkt auf gefährliche Webseiten geleitet werden.
  • Vertrauens- und Reputationsverlust: Wird eine Webseite für solche Angriffe missbraucht, schadet das ihrem Ruf und kann zu Warnungen bei Google führen.

Wie schützt man die eigene Webseite vor XSS?

Der Schutz vor XSS ist gut etabliert und beruht auf einigen zentralen Grundprinzipien. Die wichtigsten Schutzmaßnahmen sind:

  • Eingaben prüfen (Input-Validierung): Alle Daten, die von Nutzern kommen, sollten kontrolliert und auf das erwartete Format beschränkt werden.
  • Ausgaben maskieren (Output-Encoding): Die wichtigste Maßnahme. Nutzereingaben sollten bei der Ausgabe so umgewandelt werden, dass der Browser sie als reinen Text und nicht als ausführbaren Code interpretiert.
  • Content Security Policy (CSP): Eine Sicherheitsrichtlinie im HTTP-Header, die festlegt, welche Skripte überhaupt ausgeführt werden dürfen. Sie kann die Auswirkungen einer Lücke stark begrenzen.
  • Software aktuell halten: Content-Management-Systeme wie WordPress und ihre Plugins regelmäßig aktualisieren, da Sicherheitslücken laufend geschlossen werden.
  • Sicherheits-Plugins und Frameworks nutzen: Moderne Frameworks und etablierte CMS bringen oft bereits Schutzmechanismen mit, die solche Lücken vermeiden.

Besonders wichtig für CMS- und WordPress-Nutzer

Wer ein gängiges System wie WordPress nutzt, ist nicht automatisch sicher, aber auch nicht schutzlos. Die größten Risiken entstehen meist durch veraltete oder unsichere Plugins. Daher gilt: Erweiterungen nur aus vertrauenswürdigen Quellen installieren, nicht benötigte Plugins entfernen und alles konsequent aktuell halten. Für Formulare und Kommentarfunktionen sollten etablierte, gepflegte Lösungen verwendet werden, die den Schutz vor XSS bereits berücksichtigen.

Fazit

Cross-Site Scripting (XSS) ist eine verbreitete Sicherheitslücke, bei der Angreifer schädlichen Code in eine vertrauenswürdige Webseite einschleusen, der dann im Browser der Besucher ausgeführt wird. Die Folgen reichen vom Diebstahl von Zugangsdaten bis zum Reputationsverlust für die betroffene Webseite. Die gute Nachricht: Der Schutz ist mit bewährten Grundprinzipien gut umsetzbar, allen voran das saubere Maskieren von Ausgaben, das Prüfen von Eingaben und das konsequente Aktualisieren der eingesetzten Software. Wer diese Maßnahmen beachtet, schützt sowohl seine Besucher als auch die eigene Webseite zuverlässig.

Zurück zum Glossar