Cross-Site Scripting (XSS)

Angriff, bei dem schädliche Skripte in Websites eingebunden werden, um Informationen zu stehlen oder Nutzeraktionen zu manipulieren. XSS-Angriffe können in drei Kategorien unterteilt werden: Stored XSS (persistentes XSS, bei dem Nutzereingaben in Datenbanken gespeichert werden und bei jedem Abruf ausgeliefert werden), Reflected XSS (nicht-persistentes XSS, bei dem schädlicher Code über URL-Parameter direkt an den Nutzer zurückgegeben wird) und DOM-Based XSS (Client-seitige Ausführung, ausgelöst durch unsichere Manipulation des DOM). Angreifer nutzen diese Lücken, um Cookies zu stehlen, Keylogger ins JS-Kontext einzubinden oder Drive-by-Downloads zu initiieren. Gegenmaßnahmen sind konsequentes Output-Encoding, Content Security Policy (CSP) und sichere JavaScript-Frameworks, die Daten automatisch sanitizen.