Wie XSS-Angriffe Passwörter aus Browsern stehlen

Wie XSS-Angriffe Passwörter aus Browsern stehlen

09.01.2023
Autor: HostZealot Team
2 min.
18

Sicherheits-Header sind eines der wichtigsten Glieder in der Kette von Werkzeugen und Mechanismen, die eine Website vor externen Bedrohungen schützen. Mit XSS-Angriffen können Angreifer in einem Browser gespeicherte Kennwörter stehlen und für ihren eigenen Vorteil nutzen. Im Folgenden wird erklärt, was ein XSS-Angriff ist und wie man sich dagegen schützen kann.

Was ein XSS-Angriff ist und wie er durchgeführt wird

Es gibt eine bekannte Sicherheitslücke namens Cross Site Scripting, die es einem Angreifer ermöglicht, bösartigen HTML- und JS-Code in die Struktur einer Website einzuschleusen. Wenn dieser Code auf dem Computer eines Benutzers ausgeführt wird, öffnet sich automatisch ein spezielles Fenster mit einem generierten Link davor. Klickt der Benutzer auf diesen Link, gelangt er auf eine spezielle Website, die dem Original sehr ähnlich ist, so dass das Opfer keinen Verdacht schöpft. Sobald Sie darauf klicken, werden Skripte gestartet, die Informationen über gespeicherte Kennwörter aus Ihrem Browser stehlen.

Betrüger können verschiedene Varianten von XSS-Angriffen einsetzen, aber am häufigsten verwenden sie

  • Reflected XSS beinhaltet die Anwendung bestimmter Social-Engineering-Tricks, um Personen zu bestimmten Aktionen zu verleiten. Bei diesem Angriff wird ein spezielles Skript in den Hyperlink integriert, mit dem Cookies gestohlen werden können.
  • Persistent XSS ist eine Variante eines persistenten Angriffs, bei dem Malware in den Server injiziert wird. Eine infizierte Website erregt überhaupt keinen Verdacht, aber bei dieser Art von Angriff muss eine Schwachstelle auf der Website gefunden und ausgenutzt werden, um bösartigen Code auf eine Weise einzuschleusen, die von der Verwaltung der Website und des Servers, nicht bemerkt werden kann. Der infizierte Server sendet dem Angreifer automatisch die Daten von Besuchern, die sich freiwillig auf der Website anmelden.

Das Problem ist, dass für die Durchführung eines XSS-Angriffs keine tiefgreifenden Kenntnisse in den Bereichen Hacking und Social Engineering erforderlich sind, so dass diese Variante des Hackings recht gefährlich ist. Und zwar gerade wegen seiner geringen Sichtbarkeit. Dennoch ist es relativ einfach, sich dagegen zu wehren. Im Folgenden geben wir sowohl den Betreibern von Websites als auch den Nutzern, die sich vor solchen Lecks schützen wollen, Hinweise.

Was Benutzer tun sollten, um nicht Opfer eines XSS-Angriffs zu werden

Vor allem sollten Sie niemals wichtige Passwörter in Ihrem Browser speichern. Natürlich ist es nicht sehr bequem, Ihren Benutzernamen und Ihr Passwort jedes Mal manuell einzugeben, aber es ist wichtig, wenn Sie sich vor Eindringlingen schützen wollen. Bewahren Sie in Ihrem Browser nur Passwörter von Websites und Konten auf, die, selbst wenn sie gehackt werden, Ihnen keinen Schaden zufügen. Die Daten für Zahlungssysteme, Banken und Konten in sozialen Medien sollten jedoch an einem anderen Ort gespeichert werden.

Auch beim Besuch von Websites sollten Sie vorsichtig sein – wenn Sie auf einer Website verdächtige Aktivitäten in Form von aufdringlichen Pop-ups bemerken, klicken Sie nicht auf den angegebenen Link.

wie xss-angriffe passwörter aus browsern stehlen

Was Website-Besitzer tun können, um sich vor XSS-Angriffen zu schützen

Als erstes muss der X-XSS-Protection-Header aktiviert werden, der zum Filtern von Cross-Site-Scripting benötigt wird. Einmal aktiviert, verhindert es die Ausführung des <script>-Tags in der URL der Seite.

Um die XSS-Filterung zu aktivieren, öffnen Sie die .htaccess-Datei im Bearbeitungsmodus und fügen Sie die folgenden Zeilen hinzu:

<ifModule mod_headers.c>
Kopfzeile setzen X-XSS-Schutz "1; mode=block"

</IfModule>.

Dies gilt für den Apache-Webserver. Wenn Sie Nginx verwenden, öffnen Sie die Datei nginx.conf und fügen Sie im Abschnitt HTTP Folgendes hinzu:

add_header X-XSS-Schutz "1; mode=block";

Es ist auch möglich, dass bei der Anmietung eines VPS der Nutzer keinen Zugriff auf die Konfigurationsdateien hat. In diesem Fall können Sie die PHP-Funktion verwenden:

<?php header("X-XSS-Schutz: 1; mode=block"); ?>

Alternativ dazu können Sie Ihren Hoster bitten, die notwendigen Änderungen an der Konfiguration vorzunehmen. In jedem Fall gibt es zahlreiche Möglichkeiten, die XSS-Filterung zu aktivieren.

Ratschläge, wie man sich vor XSS-Angriffen schützen kann

Abschließend noch einige grundlegende Tipps, die ebenfalls hilfreich sein werden:

  1. Überprüfen Sie Ihre Website mindestens einmal im Monat auf Schwachstellen und beheben Sie diese nach Möglichkeit. Es muss unbedingt sichergestellt werden, dass alle Informationen, die von außen auf den Server gelangen, korrekt und sicher gehandhabt werden.
  2. Wenn die Website selbst geschrieben ist, sollten Sie die Software-Zeichenumwandlungsfunktion verwenden und einfache Anführungszeichen im JS-Code vermeiden.
  3. Aktualisieren Sie regelmäßig die Software der Website, insbesondere das CMS und alle installierten Plug-ins. Bei den Updates geht es weniger um neue Funktionen als vielmehr um die Sicherheit. Sehr oft entdecken Entwickler kritische Schwachstellen und beheben sie umgehend. Am besten ist es, wenn Sie automatische Server-Updates aktivieren.
  4. Verwenden Sie eine Firewall, die mit speziellen Plug-ins aktiviert werden kann.
  5. Schützen Sie Ihre Website und Benutzerdaten mit SSL-Datenverschlüsselung.
  6. Achten Sie darauf, dass Sie eine Sicherheitsrichtlinie für Inhalte einrichten. Dieses Codeschnipsel ist dazu gedacht, Inhalte in Gruppen mit unterschiedlichen Berechtigungen zu unterteilen.

Wenn Sie noch Fragen haben, wenden Sie sich bitte an HostZealot. Unsere Mitarbeiter können Ihnen bei der Lösung von Problemen mit Ihrer Website und der Datensicherheit auf dem Server helfen.

Verwandte Artikel