XSS-Angriff (Cross-Site Scripting)

Ein XSS-Angriff (Cross-Site Scripting) ist eine weit verbreitete Sicherheitslücke in Webanwendungen, bei der Angreifer schädlichen Code – meist in Form von JavaScript – in eigentlich vertrauenswürdige Webseiten einschleusen. Ziel ist es, andere Nutzer der betroffenen Website anzugreifen, etwa durch das Auslesen von Sitzungsdaten, das Manipulieren von Inhalten oder das Umleiten auf schädliche Seiten.

Wie funktioniert ein XSS-Angriff?

Bei einem XSS-Angriff nutzt der Angreifer unzureichend geprüfte Eingabefelder aus, beispielsweise Kommentarfelder, Suchmasken oder Formularfelder. Wird die Benutzereingabe nicht korrekt gefiltert oder maskiert, kann schädlicher Code in die Webseite eingebettet und im Browser anderer Nutzer ausgeführt werden. Der Browser interpretiert diesen Code als legitimen Bestandteil der Seite – mit potenziell gravierenden Folgen.

Arten von XSS-Angriffen

  1. Reflected XSS (nicht persistent)

    Der schädliche Code wird über eine manipulierte URL oder ein Formular übermittelt und unmittelbar in der Serverantwort eingebettet. Das Opfer muss meist auf einen präparierten Link klicken.

  2. Stored XSS (persistent)

    Der Schadcode wird dauerhaft auf dem Server gespeichert, z. B. in einer Datenbank, und bei jedem Seitenaufruf an Nutzer ausgeliefert. Diese Variante gilt als besonders gefährlich.

  3. DOM-basiertes XSS

    Die Manipulation erfolgt ausschließlich im Browser über das Document Object Model (DOM), ohne dass der Server direkt beteiligt ist.

Risiken und Auswirkungen

Ein erfolgreicher XSS-Angriff kann dazu führen, dass Angreifer:

  • Session-Cookies stehlen

  • Benutzerkonten übernehmen

  • Formulare manipulieren

  • Schadsoftware verbreiten

  • Phishing-Angriffe durchführen

Besonders kritisch ist dies bei Webanwendungen mit sensiblen Daten, wie Online-Shops, Kundenportalen oder Administrationsoberflächen.

Schutzmaßnahmen gegen XSS

Um XSS-Angriffe zu verhindern, sollten folgende Sicherheitsmaßnahmen umgesetzt werden:

  • Eingabevalidierung und -bereinigung (Input Validation & Sanitizing)

  • Kontextbezogenes Escaping von Ausgaben

  • Einsatz einer Content Security Policy (CSP)

  • Verwendung sicherer Frameworks mit integriertem Schutzmechanismus

  • Regelmäßige Sicherheitsprüfungen und Penetrationstests

Fazit

Der XSS-Angriff zählt zu den häufigsten Web-Sicherheitslücken und wird regelmäßig in den OWASP Top 10 aufgeführt. Eine konsequente Umsetzung sicherer Programmierpraktiken sowie kontinuierliche Überwachung sind entscheidend, um Webanwendungen wirksam vor Cross-Site-Scripting-Attacken zu schützen.

Illustration eines XSS-Angriffs mit Hacker, infizierter Webanwendung und betroffenem Nutzer auf blau-grauem Hintergrund.

Jetzt kontaktieren

Zurück zum IT-Lexikon