A7 - Cross Site Scr Flashcards

1
Q

Cross Site Scripting

A

Ein Angreifer injiziert client-seitige Skripte in vertrauenswürdige Webseiten. Der Code wird beim Opfer/Nutzer im Browser ausgeführt. Da das Skript von einer vertrauenswürdigen Seite ausgeliefert wurde und der Browser deswegen nicht wissen kann, dass das Skript bösartig ist, wird es vom Browser ausgeführt und kann Cookies, Session Token und andere vom Browser für diese Seite verwaltete Informationen auslesen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Reflected XSS

A

Reflected Angriffe werden über einen Drittdienst initiiert, zB über email oder über eine andere webseite. der injizierte code wird durch klicken eines schadhaften links oder submit einer schadhaften form zur verwundbaren seite geschickt, dann von der verwundbaren seite reflektiert und vom brwoser des opfers/nutzers ausgeführt, da er scheinbar von einer vertrauenswürdigen seite kommt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Persistent XSS

A

das injizierte skript ist dauerhaft auf einem verwundbaren server gespeichertn. das opfer erhält das bösartige skript vom server nach entsprechendem request, zb eingebettet in ein kommentarfeld. jedes mal wenn die infizierte seite aufgereufen wird, wird das skript zum browser ausgeliefert.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

DOM based XSS

A

die schwachstelle tritt im DOM (document object model) statt im HTML-teil auf. Die attacke kann entsprechend im html-quellcode nicht erkannt werden. da der vom server ausgelieferte code nicht maliziös ist, müsste der angriff eigentlich ‘client side xss’ heißen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Folgen von XSS

A

Defacement
Drive by download
session hijacking
kopieren vertraulicher infos

How well did you know this?
1
Not at all
2
3
4
5
Perfectly