Cyberkriminelle werden sehr kreativ, wenn es darum geht, wie sie ihren potenziellen Opfern Schaden zufügen können. Von Spam-SMS über Phishing-Mails bis hin zu schädlichen Downloads sind Hackern und Co. alle Mittel recht. Eine weitere, vergleichsweise wenig aufwendige Bedrohung stellt das sogenannte Cross-Site-Scripting dar. Erfahren Sie in diesem Beitrag, was das bedeutet, wie es funktioniert und wie Sie sich schützen können. Erfahren Sie auch, wie Ihnen der Avira Browserschutz dabei helfen kann, sich sicherer im Internet zu bewegen.
Was ist Cross-Site-Scripting (XSS)?
Der Begriff Cross-Site-Scripting (kurz: XSS) bezeichnet eine Angriffsmethode im Internet, bei der Cyberkriminelle Sicherheitslücken von Internetseiten ausnutzen. Bei einer XSS-Attacke schleusen Angreifer schädlichen Code auf der betroffenen Internetseite ein. Die Besonderheit hierbei: Der Code wird nicht auf dem Server der besuchten Website, sondern erst im Browser des Besuchers ausgeführt. Oftmals erfolgt die Einschleusung dieses Codeschnipsels über das Kommentar- oder Suchfeld. Er wird gefährlich, sobald der Browser ihn ausliest und ausführt.
Eine entscheidende Rolle spielt dabei die Programmiersprache JavaScript. Diese nutzen Entwickler, um interaktive Elemente in Websites einzubauen. Durch Sicherheitslücken in den Skripten, wie Kommentarfelder, Suchleisten und Anmeldeformulare, schleusen Cyberkriminelle ihren Code in die betroffene Webseite ein. Somit wird eine eigentlich harmlose Website zu einer schädlichen Adresse für Internetnutzer. Da vorrangig Eingabefelder manipuliert werden, ist Cross-Site-Scripting im Kern vergleichbar mit einer SQL-Injection.
Wie funktioniert Cross-Site-Scripting?
Ganz grundsätzlich funktioniert Cross-Site-Scripting immer über die Ausnutzung von Sicherheitslücken auf einer Website. Der Angreifer identifiziert diese Schwachstelle und schleust seinen Code (meistens über JavaScript) ein. Sobald der Nutzer die Website in seinem Browser aufruft, aktiviert sich der schädliche Code.
Es gibt drei verschiedene Arten von Cross-Site-Scripting, die allesamt unterschiedlich funktionieren.
Gespeichertes XSS
Beim Stored XSS, auch bekannt als Persistent XSS, schleusen Kriminelle den Code nicht nur temporär, sondern dauerhaft auf den Server der betroffenen Website. In den meisten Fällen wird er in eine Datenbank injiziert und jedes Mal ausgeführt, wenn ein Browser den Abschnitt der Website ausführt.
Beispiel: Ein Cyberkrimineller hinterlässt einen Kommentar, Forenpost oder Gästebucheintrag. In diesem Text hinterlegt er den schädlichen Code. Sobald das potenzielle Opfer dieses Textfeld mit dem Browser ausliest, wird der Code im Hintergrund unbemerkt ausgeführt.
Reflektiertes XSS
Eine weitere Art des Cross-Site-Scriptings ist das sogenannte Reflected XSS. Hierbei wird nicht die Website oder ein Eingabefeld manipuliert, sondern der Link, der zu der Website führt. Wenn der Benutzer den Link anklickt, öffnet sich die Website und zusätzlich wird der Code als Teil der URL an den Server übermittelt. Dieser sendet den Code direkt an den Browser zurück (der Code wird „reflektiert“), sodass der Browser ihn ausführt.
Beispiel: Ein Cyberkrimineller schickt seinem potenziellen Opfer einen Link zu einer Website. Die URL von dem Link ist bereits um den schädlichen Code ergänzt, sodass dieser direkt beim Öffnen im Browser ausgeführt wird.
DOM-basiertes XSS
Bei lokalen bzw. DOM-basierten XSS-Angriffen nutzen Cyberkriminelle keine Sicherheitslücke auf einem Webserver aus, sondern senden den potenziellen Opfern das schädliche Skript via E-Mail. Dieses bösartige Skript wird dann im Browser ausgeführt, ohne dass Sie etwas davon bemerken. Hierbei nutzen die Täter Methoden von Social Engineering (wie beispielsweise Phishing oder Spoofing), um die ahnungslosen Opfer zum Aufrufen einer betrügerischen Website zu verleiten.
Sie müssen also lediglich einen per E-Mail zugesandten, vermeintlich vertrauenswürdigen Link anklicken und schon integriert Ihr Browser das schädliche Script (man nennt das „clientseitiges JavaScript“). Er akzeptiert dieses infizierte Skript, weil es fälschlicherweise als Teil des Quellcodes dieser eben nur vermeintlich vertrauenswürdigen Website betrachtet wird und führt es aus – zeigt Ihnen also die von Ihnen aufgerufene, allerdings manipulierte Website. Wenn Ihr Browser zudem auch noch besondere Rechte auf Ihrem Laptop oder PC besitzt, können Hacker im Anschluss sogar lokal gespeicherte Daten auf Ihrem Gerät ausspionieren und manipulieren.
Beispiel: Ein Nutzer öffnet eine Seite über den schädlichen Link. Der Browser lädt die Internetseite und den dazugehörigen HTML-Code. Das Document Object Model (DOM) beschreibt die Struktur von genau diesem HTML-Code und gibt JavaScript die Möglichkeit, bestimmte Elemente der Seite zu ändern. Cyberkriminelle ändern und manipulieren diese Elemente, indem sie schädlichen Code einbauen. Dieser wird dann beim Besuch der Seite abgerufen, vom Browser heruntergeladen und ausgeführt.
Was sind die Auswirkungen von XSS-Angriffen?
Cross-Site-Scripting-Angriffe können unterschiedliche Auswirkungen haben. XSS stellt dabei in jedem Fall einen Angriff auf die Sicherheit von Webanwendungen und von den Nutzern dar, die diese Webanwendungen verwenden.
Zu den häufigsten Folgen von Cross-Site-Scripting zählen:
- Datendiebstahl: Login-Daten können direkt bei der Eingabe gestohlen werden, wodurch Täter Zugriff auf die Benutzerkonten erlangen.
- Sitzungsübernahme: Durch den gezielten Diebstahl von Sitzungs-Cookies können Cyberkriminelle auf sensible und personenbezogene Daten zugreifen. Durch die Übernahme der Cookies müssen sich die Täter nicht selbst einloggen, da die Opfer in ihrer Sitzung bereits eingeloggt sind.
- Phishing-Angriffe: Durch gefälschte oder manipulierte Eingabeformulare geben Opfer sensible Daten ein, die dann direkt an die Täter geleitet werden.
- Website-Manipulation: Der schädliche Code manipuliert das Aussehen, Verhalten sowie die Inhalte von Internetseiten. So verbreiten sich falsche Nachrichten und schädliche Links und die Reputation der Seite erleidet einen Imageschaden..
- Schadsoftware: Cyberkriminelle verbreiten schädliche Skripte, Spyware und Malware, die automatisch beim Besuch der Seite heruntergeladen werden. In der Folge werden Daten geklaut, Rechner verlangsamt oder komplett lahmgelegt.
- Unautorisierte Rechteausweitung: Ein Angreifer erlangt erhöhte Rechte in einer Webanwendung, wodurch er mehr Kontrolle über besagte Anwendung oder das System der potenziellen Opfer erhält.
Wie erkennt man Cross-Site-Scripting?
Da die meisten XSS-Angriffe unbemerkt im Hintergrund ablaufen, ist es für Sie als Internetnutzer vergleichsweise schwer, diese zu bemerken. Es gibt allerdings einige Punkte, die Sie berücksichtigen und beim Surfen beachten sollten:
- URL-Aufbau: Sie erhalten einen Link, der einen ungewöhnlich langen oder komplexen URL-Parameter hat? Wenn er zudem auch einen HTML-ähnlichen Code enthält, ist höchste Vorsicht geboten. Achtung: Durch Spoofing von URLs können diese verschleiert werden. Kopieren Sie Links vorher immer in die Zwischenablage und fügen Sie sie in beispielsweise den Texteditor ein, um das exakte Ziel zu erkennen.
- Website-Verhalten: Bei unerwarteten Pop-ups, Weiterleitungen oder Designelementen auf vertrauten Websites sollten Sie skeptisch sein.
- Browser-Warnungen: Moderne Internet-Browser haben integrierte Schutz-Tools gegen XSS. Halten Sie Ihren Browser immer aktuell, damit er entsprechende Warnungen ausspielen oder verdächtige Inhalte direkt blockiert.
- Vorausgefüllte Formulare: Wenn im Such- oder Kommentarfeld bereits merkwürdige Inhalte hinterlegt sind, kann es sich hierbei bereits um den Versuch eines XSS-Angriffs handeln.
Wie schützt man sich gegen Cross-Site-Scripting?
Vorweg: Websitebetreiber sollten dafür sorgen, dass sämtliche Benutzereingaben gefiltert und bereinigt werden, um die Weitergabe von schädlichem Code, beispielsweise über Links, zu verhindern. Eine Content Security Policy (CSP) kann zusätzlich helfen, indem sie festlegt, welche Inhalte auf einer Webseite geladen und ausgeführt werden dürfen.
Aber auch als Besucher einer Website können Sie dazu beitragen, sich vor XSS-Angriffen zu schützen. Immerhin bleibt der Anwender die größte Schwachstelle bei der Nutzung von digitalen Geräten und Anwendungen.
- Browser aktualisieren: Sie sollten in regelmäßigen Abständen Ihren Internet-Browser aktualisieren, um potenzielle Sicherheitslücken zu schließen und immer die neuesten Sicherheitsfunktionen zu haben.
- Mails genau lesen: Wenn Sie eine Mail ohne personalisierte Ansprache und mit zahlreichen Rechtschreibfehlern erhalten, sollten Sie skeptisch sein. Überprüfen Sie in jedem Fall den Absender und klicken Sie niemals unbedacht auf Links von Mails, die Sie nicht erwartet haben.
- Links überprüfen: Unbekannte und verdächtige Links sollten Sie nicht leichtfertig anklicken. Bewegen Sie vor dem Klick den Mauszeiger über den Link, um die komplette URL im Browser oder Mailprogramm sehen zu können.
- Passwort-Manager: Viele Sicherheitslücken verstecken sich in Eingabefeldern. Ein Passwort-Manager füllt nur legitime Websites automatisch aus. Wenn das Tool also nicht automatisch Ihre Daten hinterlegt, kann dies auf eine potenzielle Gefahr hindeuten.
- Unsichere Seiten meiden: Wenn möglich, sollten Sie nur Websites aufrufen, die auf das HTTPS-Protokoll setzen. Auf diesen Seiten wird die komplette Kommunikation verschlüsselt, sodass der Datenverkehr schwerer manipuliert werden kann. Dies ist vor allem dann wichtig, wenn es um sensible Daten geht (beispielsweise beim Online-Banking, Shopping etc.).
- Skripte blockieren: Sie können auch ein Plugin nutzen, das die Ausführung von JavaScript auf unbekannten oder unsicheren Seiten blockiert. Allerdings besteht dann die Möglichkeit, dass die Seiten nicht wie geplant dargestellt und genutzt werden können.
- Cookies löschen: Es empfiehlt sich, regelmäßig Cookies zu löschen. Loggen Sie sich auch immer von Websites mit sensiblen Nutzerdaten aus, sobald Sie den Zugriff nicht mehr benötigen. So verhindern Sie, dass Angreifer auf die Sitzungen zugreifen.
Zudem sollten Sie bei ungewöhnlichen Aktivitäten die Websitebetreiber informieren. Wenn Sie fragwürdige Pop-ups bemerken oder einen manipulierten Link erhalten, kann Ihr Wissen andere, potenzielle Opfer schützen.
Sicherer im Internet unterwegs – mit dem Avira Browserschutz
Sie wissen jetzt, worauf Sie beim Cross-Site-Scripting achten müssen. Wenn Sie sich noch sicherer im Internet bewegen möchten, hilft Ihnen der Avira Browserschutz dabei. Das kostenlose Plugin schützt Ihren Browser vor schädlichen Internetseiten, blockiert infizierte Anzeigen und verhindert das Tracking durch Dritte.
Auch werden unerwünschte Anwendungen, die sich an Ihre Downloads geheftet haben, entdeckt und entsprechend beseitigt. Mit dem Avira Browserschutz sind Sie auf der sicheren Seite und geben Cyberkriminellen immer weniger Angriffsfläche.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch