Gegen das Einschleusen von JavaScript, das sogenannte Cross Site Scripting (kurz XSS), ist vermeintlich kein Kraut gewachsen. Selbst in den Sites etablierter Zahlungsabwickler wie PayPal oder ClickandBuy und sogar deutscher Banken entdecken Sicherheitsexperten und Schüler immer wieder Schwachstellen, durch die Angreifer eigenen Code einschleusen können. Die möglichen Folgen: Cookie-Klau, Phishing und Malware – alles im Namen der verwundbaren Site.
Freilich könnten (und sollten) sich die Betreiber schützen, indem sie Benutzereingaben penibel auf eingeschleuste Skripte untersuchen. Das geschieht auch, nichtsdestotrotz finden Weiß- und Schwarzhüte immer wieder Schlupflöcher. Das liegt einerseits daran, dass die Hacker auf ein beachtliches Waffenarsenal zurückgreifen können, andererseits spielt ihnen auch die Komplexität moderner Web-Applikationen in die Hände.
Hier können Sie die vollständige Meldung bei heise-online lesen.
Quelle: heise-online