Naar inhoud springen

Cross-site scripting

Uit Wikipedia, de vrije encyclopedie
Dit is een oude versie van deze pagina, bewerkt door 193.172.9.9 (overleg) op 16 aug 2011 om 10:33.
Deze versie kan sterk verschillen van de huidige versie van deze pagina.

Cross-site scripting (XSS) is de naam van een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookies, url, request parameters) niet afdoende wordt gevalideerd en hierdoor in de uitvoer terecht komt naar de eindgebruiker. Via deze bug in de website kan er kwaardaardige code (JavaScript, VBScript, ActiveX, HTML, Flash, etc) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd.

In het begin werd de acroniem CSS gebruikt om Cross-site scripting aan te duiden. Om verwarring te voorkomen met Cascading Style Sheets en Content-scrambling system werd snel hierna de afkorting XSS gebruikt waarbij de X staat voor cross (Engelse woord voor kruis).

Vaak wordt Cross-site scripting gebruikt in combinatie met Phishing, waarbij de eindgebruiker wordt verleid om op een met XSS geprepareerde link in een emailbericht te klikken. Zodra deze persoon op de link klikt wordt de XSS aanval uitgevoerd.

Er zijn meerdere vormen van cross site scripting mogelijk:

  • Clientside
    Bij het eerste soort XSS aanval wordt in een clientside script de invoer van de gebruiker gebruikt, bijvoorbeeld informatie uit de URL, om een stuk van de pagina te genereren, zonder deze informatie te controleren of te beveiligen.
  • Serverside zonder state
    Bij het tweede soort aanvallen wordt de invoer van de gebruiker naar de server gestuurd en daar wordt de invoer zonder gecontroleerd of beveiligd te worden gebruikt om een HTML pagina te genereren.
  • Serverside met state
    Hetzelfde gebeurt bij het derde type, alleen dan wordt de informatie in een database of ander systeem opgeslagen om HTML-pagina's voor meerdere personen te kunnen genereren. Dit laatste kan bijvoorbeeld gebeuren wanneer de tekst die wordt ingevoerd op bijvoorbeeld een discussieforum niet gecontroleerd wordt.

Uit een scan uitgevoerd door een Amerikaans beveilingsbedrijf in 2009 bleek dat 65% van de onderzochte websites niet beveiligd was tegen Cross-site scripting.[1]

Referenties

  1. 60% websites bevat ernstig beveiligingslek (20 mei 2009)
Overgenomen van "https://nl.wikipedia.org/w/index.php?title=Cross-site_scripting&oldid=26893695"