Cross Site Scripting

aus WoltLab Wiki, der freien Wissensdatenbank

Cross Site Scripting ("XSS") bezeichnet eine Form der Sicherheitslücke, die es ermöglicht, Code auf dem Rechner eines Benutzers oder Admins auszuführen.

Beispielsweise ist es möglich - wenn die Zeichen <, " und > nicht in XHTML umgeformt werden -, dass der potenzielle Hacker JavaScript-Code einfügen kann, der dann ausgeführt werden kann.

Besonders in älteren Versionen war dies gefährlich, weil es da keine zusätzliche Administrator-Authorisierung (Neueinloggen) gab. Somit war es z.B. möglich, ein Popup zu öffnen, das im ACP einen Administrator erstellt hat. Diese Gefahr besteht in den aktuellen Versionen jedoch nicht mehr.

Umgehen kann man das - falls man beispielsweise Hacks schreibt -, indem man sich für Eingaben von Benutzern oder durch die Adresszeile (also in den Super-Globals $_POST oder $_GET, jedoch sicherheitshalber auch $_COOKIE) den Code parsen lässt mithilfe der PHP-Funktionen htmlspecialchars($string) [dies wird nur die "wichtigsten" Zeichen in XHTML-Zeichen konvertieren] oder htmlentities($string) [dies wird alle bekannten Zeichen in einen XHTML-Code umwandeln]