© ideyweb/Shutterstock.com
Teil 4: Cross-Site Scripting, Insecure Deserialization

Zehn Bedrohungen für Webanwendungen


Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel lernen Sie den siebten und achten Platz kennen.

Auf Platz 7 der OWASP Top 10 2017 [1] steht das Cross-Site Scripting, das in den 2013er Top 10 [2] noch auf Platz 3 stand. Auf Platz 8 befindet sich mit der Insecure Deserialization ein Neuzugang im Vergleich zur 2013er-Version.

Platz 7: XSS

Als Cross-Site Scripting, abgekürzt XSS, wird das Einschleusen von bösartigem JavaScript- oder HTML-Code in eine Website bezeichnet. XSS-Schwachstellen treten auf, wenn eine Anwendung vom Angreifer manipulierbare Daten ohne ausreichende Prüfung beziehungsweise Filterung oder Umkodierung an den Webbrowser sendet. Je nachdem, wo die Schwachstelle auftritt, unterscheidet man zwischen reflektiertem, persistentem und DOM-basiertem XSS.

Reflektiertes XSS

Beim reflektierten XSS wird der Schadcode an die Anwendung und von dieser zurück an den Browser gesendet. Ein typisches Beispiel dafür ist eine XSS-Schwachstelle in der Suchfunktion, bei der der vom Benutzer an den Server gesendete Suchbegriff unverändert in der Antwort auf die Suchanfrage an den Browser zurückgeschickt wird. Auf der Seite erscheint dann beispielsweise der Satz „Ihre Suche nach SUCHBEGRIFF ergab folgendes Ergebnis: …“. Bei Eingaben wie Hund, Katze, Maus oder Ähnlichem passiert genau das, was sich der Entwickler dabei gedacht hat. Sucht aber jemand nach dem klassischen Beispiel <script>alert("XSS!")</script>, öffnet sich die Alert-Box: Der eingeschleuste JavaScript-Code wird ausgeführt.

Für einen Angriff ist es allerdings ziemlich unpraktisch, wenn man das Opfer den Schadcode ins Suchfeld eintippen oder kopieren lassen muss. Auch wenn das mit etwas Social Engineering sicher sehr oft klappen wird – nach dem Motto „Wenn Sie diese Zeichen eingeben wird der Browser danach viel schneller“. Das ist im Allgemeinen aber gar nicht nötig, da der Parameter mit dem Suchbegrif...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang