XSS – Tutorial

XSS steht für Cross Site Scripting, zu Deutsch Überspringen des Standard Scripts. Hier gibt es 2 Varianten:

• Temporär
• Dauerhaft

XSS sind Lücken, die dazu dienen Templates oder Inhalte zu verändern. Nicht zu verwechseln mit SQL Injections. Man kann einfache Alerts erzeugen: [html]index.php?name=guest<script>alert('attacked')</script>[/html] Oder Seite gar umlenken: [html]index.php?name=script%3Ewindow.onload%20=%20function%28%29%20{var%20link=document.getElementsByTagName%28%22a%22%29;link[0].href=%22http://huskynarr.com/%22;}%3C/script%3E[/html] Leider sind solche Domains auffällig, jedoch kann man auch hierbei tricksen. Man kann unter anderem einfach die Hex Werte nutzen. Oftmals kann man so derartiges permanent machen bei Gästebüchern. Zu den perpamenten ist das so, das diese in die Datenbank eingeschrieben werden muss. Anhang von Kommentaren, Einträgen oder Namen ist sowas immer gut umsetzbar. Der Interpreter, in unserem Fall PHP versucht die Eingabe ungefiltert auszulesen, so gibt er auch jedes Zeichen aus das er eig. Verarbeiten soll. Nur wie sichere ich mich dagegen? strip_tags, trim und htmlspecialchars sind gute Möglichkeiten dagegen zu arbeiten. Funktionen bitte nachselbst bei php.net nachlesen. ;)