Cross-Site Scripting (XSS) bezeichnet das Ausnutzen einer Computersicherheitslcke. Bei dieser Angriffsart werden  Informationen aus einem Kontext in einen adneren Kontext eingefgt, in dem sie nicht vertrauenswrdig sind, in einen anderen Kontext eingefgt werden, in dem sie als vertrauenswrdig eingestuft sind. Aus diesem vertrauenswrdigen Kontext kann dann ein Angriff gestartet werden.

Die Angriffsklasse des Cross-Site Scriptings gehrt zu den hufigsten Angriffsmethoden im Internet. Die Mglichkeiten sind beinahe grenzenlos. Bei dieser Angriffsmethode wird aus einer vertrauten Seite ein schadhafter Code ausgefhrt. Der User bekommt von diesem Angriff nichts mit und ist daher auch meistens schutzlos ausgeliefert.

Damit ein Cross-Site Scripting Angriff funktionieren kann, mssen verschiedene Faktoren vorhanden sein. Damit der Angreifer seinen schadhaften Quelltext implementieren kann, muss auf dem Angriffsziel ein Eingabeformular vorhanden sein, welches ungeschtzt ist. In der Regel muss jede Usereingabe genau geprft werden. Viele ungebte Programmierer wissen dies nicht, oder nehmen sich nicht die Zeit, dies zu programmieren, da dies in der Regel aufwendig und komplex sein kann. Auerdem muss diese Usereingabe wieder ausgegeben werden, damit der Angriff Erfolg hat.

Die Folgen eines erfolgreichen XSS-Angriffes knnen fatal sein. Ein sehr gutes Beispiel fr einen XSS Angriff ist der sogenannte CookieStealer. Bei diesem Angriff wird versucht einen JavaScript Code in einer Eingabe zu verstecken. Falls dies gelingt wird mit der Eigenschaft document.cookie die Daten des Cookies der Seite ausgelesen. In den Cookies werden im Falle des wbbs und vielen Onlineanwendungen Passwrter und Userinformationen gespeichert. Falls es dem Angreifer gelingt einen solchen CookieStealer zu installieren, bekommt er ab diesem Zeitpunkt alle Cookies zugeschickt von den Usern, welche die infizierte Seite betrachten. Mit diesen Daten kann er sich dann als diese User ausgeben und im schlimmsten Fall Adminrechte erlangen.

[b]weiterfhrende Links:[/b][list]
[*] [url=http://de.wikipedia.org/wiki/XSS]Wikipedia: XSS (Cross-Site Scripting)[/url]
[*] [url=http://de.wikipedia.org/wiki/HTTP-Cookie]Wikipedia: Cookies[/url][/list]