Cross-Site-Scripting-Schwachstelle (XSS)

Unter Cross-Site-Scripting (XSS) versteht man die Einschleusung von clientseitigen Skripten in Webanwendungen. Fehlt eine ordnungsgemäßen Validierung und Kodierung von Benutzereingaben wird XSS möglich. Von Dritten kontrollierte Skripte werden dann im Browser des Endnutzers ausgeführt. Dritte können dadurch Sitzungen stehlen und Aktionen, die der Endnutzer auf der Website durchführt, überwachen oder ändern. Dies ist immer dann möglich, wenn die Benutzereingaben weder auf der Client- noch auf der Serverseite ausreichend validiert sind. Die häufigsten Angriffspunkte für Cross-Site-Scripting-Angriffe sind Suchformulare, Foren oder Kommentarbereiche.

Cross-Site Scripting (XSS) ist nach wie vor eine der häufigsten Schwachstellen, die Experten bei  Penetrationstests für Webanwendungen finden.