Cross Site Scripting oder kurz XSS ist die Bezeichnung für das Ausnutzen einer Sicherheitslücke von Webanwendungen. Hierbei wird nicht vertrauenswürdiger Quellcode in vertrauenswürdige Elemente der Webanwendung eingebunden, um den Code letztendlich als vertrauenswürdig anzusehen.

Das Scripting von Cross Site Scripting kommt von Javascript, durch das hauptsächlich Cross Site Scripting durchgeführt wird.

Ein einfaches Beispiel sind die Kommentarfelder, die es auf vielen Webseiten gibt. Fügt man dort

<script type=„text/javascript“>alert(„XSS“);</script>

ein und der Kommentar wird nicht überprüft, so erscheint bei jedem Aufruf zuerst ein Javascript-Popup, wenn die Webseite für Cross Site Scripting anfällig ist.

Dies kann natürlich auf unterschiedlichste Weise ausgenutzt werden.

Genauere Informationen über Cross Site Scripting gibt es beispielsweise auf http://ha.ckers.org/xss.html bzw. auf Wikipedia.

 

SQL-Injection bezeichnet die Möglichkeit durch Benutzereingaben eine Sicherheitslücke im System auszunützen um Daten einer SQL-Datenbank zu verändern oder auszulesen. Dadurch ist es möglich kritische Informationen, wie Benutzernamen und Passwörter, aus der zugrundeliegenden Datenbank auszulesen.

Login-Seiten von Webseiten haben in der Regel ein Benutzereingabefeld und ein Passwortfeld. Wenn die Eingaben der Felder nicht geprüft werden, so kann es z.B. möglich sein, sich ohne gültiges Passwort anzumelden.

Als erstes wird jedoch überprüft, ob die Benutzereingaben überprüft werden. Dies wird durch einen einfachen Slash (‚) im Eingabefeld realisiert.

Beispiel 1:
Wir gehen von dem zugrundeliegenden SQL-Befehl aus:

select FELDER
from TABELLE
where FELD = ‚$name‘;

Geben wir nun in das Eingabefeld otto‘ ein, so dürfte ohne Prüfung der Eingabe der SQL-Befehl folgendermaßen aussehen:

select FELDER
from TABELLE
where FELD = ‚otto“;

weiterlesen von ‘SQL Injection’ »

Impressum Suffusion theme by Sayontan Sinha