Cross-site scripting

Cross-site scripting (XSS) is de naam van een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Via deze bug in de website kan er kwaadaardige code (JavaScript, VBScript, ActiveX, HTML, Flash etc.) geïnjecteerd worden. Hiermee kunnen onder meer sessiecookies worden bekeken, sessie van een gebruiker worden overgenomen, functionaliteit van een website worden verrijkt of onbedoelde acties voor een gebruiker worden uitgevoerd.

In het begin werd het acroniem CSS gebruikt om cross-site scripting aan te duiden. Om verwarring te voorkomen met Cascading Style Sheets en Content Scramble System werd snel hierna de afkorting XSS gebruikt waarbij de X staat voor cross (Engelse woord voor kruis).

Vaak wordt cross-site scripting gebruikt in combinatie met Phishing^[bron?], waarbij de eindgebruiker wordt verleid om op een met XSS geprepareerde link in een e-mailbericht te klikken. Zodra deze persoon op de link klikt wordt de XSS aanval uitgevoerd.

Vormen[bewerken | brontekst bewerken]

Er zijn meerdere vormen van cross-site-scripting mogelijk:

Clientside
Bij het eerste soort XSS-aanval wordt in een client-side-script de invoer van de gebruiker gebruikt, bijvoorbeeld informatie uit de URL, om een stuk van de pagina te genereren, zonder deze informatie te controleren of te beveiligen.
Serverside zonder state
Bij het tweede soort aanvallen wordt de invoer van de gebruiker naar de server gestuurd en daar wordt de invoer zonder gecontroleerd of beveiligd te worden gebruikt om een HTML pagina te genereren.
Serverside met state
Hetzelfde gebeurt bij het derde type, alleen dan wordt de informatie in een database of ander systeem opgeslagen om HTML-pagina's voor meerdere personen te kunnen genereren. Dit laatste kan bijvoorbeeld gebeuren wanneer de tekst die wordt ingevoerd op bijvoorbeeld een discussieforum niet gecontroleerd wordt.

Onderzoek[bewerken | brontekst bewerken]

Uit een scan uitgevoerd door een Amerikaans beveiligingsbedrijf in 2009 bleek dat 39% van de onderzochte websites niet beveiligd was tegen cross-site scripting.^[1]

De Consumentenbond stelde in april 2015 vast dat van de honderd grootste Nederlandse webshops er op dat moment zeker 38 kwetsbaar waren voor XSS-aanvallen.^[2]

Voorbeeld[bewerken | brontekst bewerken]

Een voorbeeld van een client-side XSS kwetsbaar script gemaakt in PHP:

<?php

 // $_GET["BERICHT"] = "Welkom!";
 if ( isset ( $_GET["BERICHT"] ) )
 echo $_GET["BERICHT"];

?>

Als de aanvaller als $_GET["BERICHT"] geen normaal bericht invoert (zoals verwacht) maar kwaadaardige code, gebeurt er dit:

<?php

 // $_GET["BERICHT"] = "<script>alert('XSS');</script>";
 if ( isset ( $_GET["BERICHT"] ) )
 echo $_GET["BERICHT"];

?>

Dan krijgt de aanvaller een JavaScript alert met de text: XSS.
Hiermee kan de aanvaller ook kwaadaardige code uitvoeren.

Een voorbeeld van een klein stukje code dat (meestal) niet kwetsbaar is:

<?php

 // $_GET["BERICHT"] = "<script>alert('XSS');</script>";
 if ( isset ( $_GET["BERICHT"] ) )
 echo htmlentities ( $_GET["BERICHT"] );

?>

Hier voert de webbrowser de code niet uit.

Bronnen, noten en/of referenties

↑ 60% websites bevat ernstig beveiligingslek (20 mei 2009)
↑ Veel grote webwinkels lek (30 april 2015). Gearchiveerd op 3 mei 2015. Geraadpleegd op 30 april 2015.

[1] 60% websites bevat ernstig beveiligingslek (20 mei 2009)

[2] Veel grote webwinkels lek (30 april 2015). Gearchiveerd op 3 mei 2015. Geraadpleegd op 30 april 2015.

[1]

[2]