Inhoudsopgave:
Definitie - Wat betekent XSS Hole?
Een XSS-hole is een webtoepassing die dynamische inhoud weergeeft aan gebruikers met een kwetsbaarheid voor computerbeveiliging. Deze applicatie is cross-site scripting (XSS) en stelt een aanvaller in staat de vertrouwelijke gegevens van een gebruiker te exploiteren zonder een toegangscontrolemechanisme zoals een beleid van dezelfde oorsprong door te geven. Dit defect is beter bekend als een XSS-hole.
Techopedia legt XSS Hole uit
De gebruiker kan bijvoorbeeld een hyperlink in een webtoepassing tegenkomen die naar schadelijke inhoud verwijst. De gebruiker kan op de link klikken en naar een andere pagina worden geleid die een bulletin of e-mail bevat. Deze pagina verzamelt gebruikersinformatie in de vorm van een wachtwoord. Het genereert ook een schadelijke uitvoerpagina die een nepreactie aangeeft die is aangepast om als echt voor de gebruiker te verschijnen. De gegevens die door de gebruiker zijn ingevoerd, kunnen worden misbruikt of de sessie van de gebruiker kan worden gekaapt door cookiediefstal. Op basis van de gevoeligheid van de verzamelde gegevens kan cross-site scripting variëren van een loutere kwetsbaarheid tot een ernstig beveiligingslek. Na misbruik van het XSS-beveiligingslek kan de aanvaller het toegangscontrolebeleid van de organisatie omzeilen.
Het concept van cross-site scripting is gebaseerd op hetzelfde oorspronkelijke beleid. In hetzelfde oorspronkelijke beleid staat dat een webbrowser die JavaScript gebruikt, zonder enige beperking toegang heeft tot verschillende eigenschappen en methoden die tot dezelfde site behoren. Schadelijke aanvallers kunnen het concept van hetzelfde oorspronkelijke beleid misbruiken door kwaadaardige code in een website te injecteren met behulp van JavaScript. Wanneer de webpagina's door gebruikers worden bekeken, kunnen aanvallers nuttige gebruikersinformatie verzamelen, zoals een gebruikersnaam of wachtwoord.
Volgens de statistieken die Symantec in 2007 heeft verzameld, is cross-site scripting goed voor 80 procent van alle beveiligingsaanvallen die met computers worden uitgevoerd. Er zijn drie soorten cross-site scripting:
- Niet-persistente XSS: het niet-persistente type cross-site scripting wordt gezien tijdens HTTP-aanvragen waarbij de client gegevens insluit in een HTTP-verzoek. Wanneer de server gegevens gebruikt die door de client zijn verzonden om pagina's te genereren, kunnen de XSS-holes actief zijn als het verzoek niet correct is opgeschoond. HTML-pagina's bestaan uit zowel inhoud als presentatie. Als de kwaadwillende gebruiker inhoud toevoegt die niet is gevalideerd, vindt er een markupinjectie plaats. De gebruiker zal zijn beveiliging in gevaar brengen door informatie in te voeren die door de kwaadaardige code wordt gevraagd. De aanvaller kan de gebruiker misleiden naar een andere URL, die een geavanceerder virus kan bevatten en belangrijke gebruikersinformatie kan verkrijgen.
- Persistente XSS: de kwaadwillende inhoud die door de aanvaller wordt geïnjecteerd, wordt aan de serverzijde opgeslagen en alle andere clients vragen toegang tot de gewijzigde inhoud, waardoor een ernstig beveiligingsrisico ontstaat. Op sommige forums kan de gebruiker bijvoorbeeld HTML-opgemaakte berichten plaatsen. Daarom kan een aanvaller een JavaScript-code insluiten om een schadelijk tekstvak te presenteren om informatie zoals een wachtwoord te verzamelen. De aanvaller kan ook de JavaScript-code configureren om elk wachtwoord op te slaan en te verzenden dat in het tekstveld is ingevoerd.
- Op DOM gebaseerde XSS: het documentobjectmodel (DOM) is een boomstructuur die alle tags weergeeft die in een document verschijnen die voldoen aan XML-normen. DOM wordt in JavaScript gebruikt voor toegang tot en manipulatie van HTML-tags en de inhoud binnen de tags. Een aanvaller kan een kwaadaardig stuk JavaScript-code met de juiste DOM-instructies injecteren om toegang te krijgen tot belangrijke gebruikersinformatie en deze te wijzigen. De aanvaller kan bijvoorbeeld DOM gebruiken om de gebruikersinformatie om te leiden door een onjuiste inzending naar een kwaadwillende website van derden.
