Cross-site scripting

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Cross-site scripting (XSS) is de naam van een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terecht komt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd.

In het begin werd de acroniem CSS gebruikt om cross-site scripting aan te duiden. Om verwarring te voorkomen met Cascading Style Sheets en content-scrambling system werd snel hierna de afkorting XSS gebruikt waarbij de X staat voor cross (Engelse woord voor kruis).

Vaak wordt cross-site scripting gebruikt in combinatie met Phishing, waarbij de eindgebruiker wordt verleid om op een met XSS geprepareerde link in een emailbericht te klikken. Zodra deze persoon op de link klikt wordt de XSS aanval uitgevoerd.

Vormen[bewerken]

Er zijn meerdere vormen van cross-site-scripting mogelijk:

  • Clientside
    Bij het eerste soort XSS-aanval wordt in een client-side-script de invoer van de gebruiker gebruikt, bijvoorbeeld informatie uit de URL, om een stuk van de pagina te genereren, zonder deze informatie te controleren of te beveiligen.
  • Serverside zonder state
    Bij het tweede soort aanvallen wordt de invoer van de gebruiker naar de server gestuurd en daar wordt de invoer zonder gecontroleerd of beveiligd te worden gebruikt om een HTML pagina te genereren.
  • Serverside met state
    Hetzelfde gebeurt bij het derde type, alleen dan wordt de informatie in een database of ander systeem opgeslagen om HTML-pagina's voor meerdere personen te kunnen genereren. Dit laatste kan bijvoorbeeld gebeuren wanneer de tekst die wordt ingevoerd op bijvoorbeeld een discussieforum niet gecontroleerd wordt.

Onderzoek[bewerken]

Uit een scan uitgevoerd door een Amerikaans beveiligingsbedrijf in 2009 bleek dat 39% van de onderzochte websites niet beveiligd was tegen cross-site scripting.[1]

Bronnen, noten en/of referenties