Cross-Site-Scripting (XSS).

Cross-Site-Scripting (XSS) entsteht, wenn eine Webanwendung nicht vertrauenswürdige Eingaben ohne kontextbewusstes Escaping in ihren Antworten reflektiert oder speichert und so vom Angreifer kontrolliertem JavaScript erlaubt, im Browser des Opfers unter der Origin der Seite zu laufen – wobei es deren Cookies, DOM-Zugriff und Same-Origin-Privilegien erbt. Die drei Klassen sind reflektiertes XSS (Payload aus der Anfrage zurückgeworfen), gespeichertes XSS (Payload serverseitig persistiert, z. B. in einem Kommentar) und DOM-basiertes XSS (der Sink liegt im clientseitigen JavaScript, etwa innerHTML oder document.write).

Die klassische Demonstration der Reichweite von gespeichertem XSS ist der Samy-Wurm: Am 4. Oktober 2005 platzierte Samy Kamkar eine JavaScript-Payload in seinem MySpace-Profil, die ihn als Freund hinzufügte und sich in das Profil jedes Betrachters kopierte. Sie infizierte in unter 20 Stunden über eine Million Konten – der zu jener Zeit am schnellsten verbreitete Wurm – und führte zu einer Razzia des Secret Service und einem Schuldbekenntnis wegen einer Straftat. XSS bleibt ein fester Bestandteil der OWASP Top 10, eingegliedert in A03:2021 (Injection).

Die Verteidigung ist mehrschichtig: kontextbewusstes Output-Encoding (HTML, Attribut, JS, URL), eine strikte Content-Security-Policy mit Nonces oder Hashes, um Inline-Skripte zu blockieren, automatisches Escaping durch Frameworks (React, Angular), Trusted Types zur Absicherung gefährlicher DOM-Sinks sowie HttpOnly/SameSite-Cookies, um Session-Diebstahl zu begrenzen. Eingabevalidierung hilft, reicht aber für sich allein nicht aus.

flowchart LR
  A[Angreifer übermittelt Payload] --> W[Web-App speichert oder reflektiert Eingabe]
  W -->|Nicht escapte Ausgabe| V[Browser des Opfers rendert die Seite]
  V --> X[Angreifer-Skript läuft in der Origin der Seite]
  X --> S[Cookies/Session stehlen, Keylogging, Pivot]