Zusammenfassung
Auch wenn sie eigentlich seit über zehn Jahren [1] bekannt ist, wird die Verwundbarkeitsklasse des Client-Side Cross-site Scriptings noch immer wie das Stiefkind der Familie der Injektionsverwundbarkeiten behandelt. Stets im Schatten der großen Geschwister stehend, wie SQL-Injection oder serverseitigem XSS, wird sie gern übersehen und hat in der Vergangenheit nur wenig Aufmerksamkeit bekommen. In diesem Beitrag gehen wir dem Thema auf den Grund und untersuchen nicht nur, wie häufig derartige Unsicherheiten in echten Web-Seiten zu finden sind, sondern auch, worin die Ursache für die darunter liegende Verwundbarkeit liegt und wie sie auf einfache Weise verhindert werden kann.
Literatur
Amit Klein: DOM Based Cross Site Scripting or XSS of the Third Kind. Web Application Security Consortium, Articles 4, 2005. 〈http://www.webappsec.org/projects/articles/071105.shtml〉
Martin Johns: Code-injection Vulnerabilities in Web Applications — Exemplified at Cross-site Scripting. It — Information Technology 53(5): 256–259, May 2011
Gregor Richards, Christian Hammer, Brian Burg, und Jan Vitek. 2011: The eval that men do: A large-scale study of the use of eval in javascript applications. In Proceedings of the 25th European conference on Object-oriented programming (ECOOP’11), Mira Mezini (Ed.). Springer-Verlag, Berlin, Heidelberg, 52–78.
Son, S, Shmatikov, V.: The Postman Always Rings Twice: Attacking and Defending postMessage in HTML5 Websites. Network and Distributed System Security Symposium (NDSS’13), 2013
Ben Stock, Stephan Pfistner, Bernd Kaiser, Sebastian Lekies und Martin Johns: From Facepalm to Brain Bender: Exploring Client-Side Cross-Site Scripting. 22nd ACM Conference on Computer and Communications Security (ACM CCS’15), Oct. 2015
Ben Stock, Sebastian Lekies, Tobias Mueller, Patrick Spiegel und Martin Johns: Precise Client-side Protection against DOM-based Cross-Site Scripting. In 23rd USENIX Security Symposium (USENIX Security’ 14), August 2014
Sebastian Lekies, Ben Stock, Martin Johns: 25 Million Flows Later — Largescale Detection of DOM-based XSS. In 20th ACM Conference on Computer and Communications Security (ACM CCS’13), November 2013
Ben Stock: Untangling the Web of Client-Side Cross-Site Scripting. Dissertation. Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU), 2015
Author information
Authors and Affiliations
Corresponding author
Additional information
Dr. Ben Stock Postdoctoral Researcher CISPA, Universität des Saarlandes
Dr. Martin Johns Research Expert SAP SE
Rights and permissions
About this article
Cite this article
Stock, B., Johns, M. Client-Side XSS in Theorie und Praxis. Datenschutz Datensich 40, 707–712 (2016). https://doi.org/10.1007/s11623-016-0688-5
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11623-016-0688-5