Jeden Tag hört man von Cross-Site-Attacken, wodurch Datenklau und vieles mehr statt findet. Betroffen sind meist auch Server auf denen man selber tgl. arbeitet (MySpace). Doch was ist das eigentlich?

Cross-Site-Scripting oder auch kurz nur XSS genannt, heißt nichts anderes, als dass Schadcode meist in Form von Java- oder ActiveScript mit in Seite mit eingebunden wird. Dieser gelangt bei ungenügender Prüfung der Eingabe mit auf die Seite (z.B. bei Dynamischen Content). Einige Browser, vor allem der Internet Explorer, legitimiert sogar diesen Code und führt ihn aus. So lässt sich zum Beispiel unter ihm die Zwischenausgabe auslesen (Wo viele User auch ihre Passwörter einkopieren). 

Ein einfaches XSS kann z.B. so aussehen:

[script]alert('grafiti')[/script]

Umgewandelt in Hex (wird erst bei urldecode() gefährlich):

%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%27

%67%72%61%66%69%74%69%27%29%3c%2f%73%63%72%69%70%74%3e

Diese Zeile einfach mal in eine Eingabebox kopieren (Klammern freilich ändern) und sehen was bei der Ausgabe der eingetragenen Daten passiert. Um die Gefahr, die von XSS ausgeht, den Usern näher zu bringen, findet bei „Hacker RSnake“ ein Wettbewerb um den kürzesten Cross-Site-Scripting-Wurm statt. Heise Beitrag hier .

 Wir werden in Zukunft mehr zum Thema Sicherheit im World Wide Web berichten.