XSS

Cross Site Scripting (XSS) is een van de meest gebruikte aanvalsmethoden op internet. Het doel van cross-website scripting is om toegang te krijgen tot vertrouwelijke gegevens, applicaties over te nemen of andere schade aan te richten. XSS integreert de aanvalscode in een zogenaamd veilige context.

Types

Cross Site Scripting maakt onderscheid tussen drie verschillende soorten aanvallen. Dit zijn:

• reflecting (reflecterende) XSS
• persistent (aanhoudende) XSS
• local (lokale) XSS

Reflecting XSS

Gereflecteerde cross-site scripting vindt plaats aan de serverzijde. Een slachtoffer klikt op een vervaardigde URL waarin schadelijke code is ingevoegd. De server neemt deze code over vanwege onvoldoende beveiliging en genereert een dynamisch gewijzigde website. De gebruiker ziet een website die door de aanvaller is gemanipuleerd en beschouwt deze als betrouwbaar.

Persistent XSS

Bij persistant XSS is een beveiligingslek op de server het startpunt van de aanval. De aanvaller geeft de kwaadaardige code door aan de server door een gemanipuleerde link op te roepen. Dit slaat de wijzigingen vervolgens permanent op in zijn database. De gebruiker hoeft zelf geen gemanipuleerde link op te roepen. Door de database van de webserver te wijzigen, kunnen gemanipuleerde pagina's aan alle bezoekers worden getoond.

Local XSS

Lokale XSS vereist geen kwetsbaarheid voor een webserver. De kwaadaardige code wordt rechtstreeks naar de gebruiker gestuurd en bijvoorbeeld in de browser uitgevoerd zonder dat de gebruiker het merkt. Het startpunt van de aanval is wanneer de gebruiker op een gemanipuleerde link klikt. Door het script dat in de browser is geplaatst, kunnen statische websites ook in een andere vorm op de clientcomputer worden weergegeven. Als de browser speciale rechten op de computer heeft, is het ook mogelijk om lokale gegevens op het apparaat te wijzigen.