Angriff

Cross-Site Scripting

Abkürzung: XSS

Angriffstechnik, bei der Angreifer bösartigen JavaScript-Code in Webseiten einschleusen, der dann im Browser anderer Nutzer ausgeführt wird.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“Stell dir vor, du schreibst auf einer Webseite einen Kommentar — aber statt Text schreibst du heimlich einen Befehl. Wenn andere Nutzer die Seite öffnen, führt ihr Browser diesen Befehl aus, ohne es zu merken. So kann ein Angreifer deine Passwörter klauen, ohne dich direkt anzugreifen.”

Ausführliche Erklärung

XSS-Angriffe unterteilen sich in drei Typen: Stored XSS (Code wird dauerhaft in der Datenbank gespeichert), Reflected XSS (Code wird über URL-Parameter zurückgespiegelt) und DOM-basiertes XSS (Manipulation des Document Object Model ohne Serverkontakt). Angreifer können so Session-Cookies stehlen, Keylogger einschleusen, Phishing-Formulare einblenden oder Nutzer auf bösartige Seiten weiterleiten. XSS zählt seit Jahren zu den OWASP Top 10 Schwachstellen.

>Wie funktioniert das?

Angreifer findet ein Eingabefeld (Kommentar, Suche, Profil), das Benutzereingaben ungefiltert ausgibt

Er schreibt JavaScript-Code in dieses Feld (z.B

Wenn ein anderer Nutzer die Seite lädt, führt sein Browser den Code aus

Cookies, Tokens oder Tastatureingaben werden an den Angreifer gesendet

Angreifer übernimmt die Session des Opfers.

?Häufig gestellte Fragen

Antwort

Jede Webanwendung, die Nutzereingaben ohne ausreichende Validierung und Ausgabe-Kodierung verarbeitet — vom kleinen Blog bis zum Online-Banking-Portal.

Antwort

Bei Stored XSS wird der Schadcode dauerhaft auf dem Server gespeichert und bei jedem Seitenaufruf ausgeführt. Bei Reflected XSS wird der Code nur einmalig über einen manipulierten Link zurückgespiegelt.

Antwort

Zum Stehlen von Session-Cookies, Umleiten von Nutzern, Einblenden gefälschter Login-Formulare, Verbreiten von Malware und Ausführen von Aktionen im Namen des Opfers.

Antwort

Weil korrekte Ausgabe-Kodierung in komplexen Webanwendungen mit vielen Eingabepunkten schwer konsistent umzusetzen ist und Entwickler oft nicht alle Kontexte (HTML, JS, CSS, URL) richtig absichern.

Antwort

Durch konsequentes Output-Encoding, Content Security Policy (CSP) Header, HttpOnly-Flag für Cookies, Eingabevalidierung auf Server- und Clientseite sowie regelmäßige SAST/DAST-Tests.

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC