Cross-Site-Scripting (XSS)-Angriffe sind eine häufige Schwachstelle in Webanwendungen, und eine der gefährlichsten Arten ist DOM-basiertes XSS. Diese Form von XSS tritt auf, wenn das Document Object Model (DOM) einer Webseite manipuliert wird, um schädliche Skripte auszuführen. In diesem Blog untersuchen wir DOM-basiertes XSS, wie es funktioniert und wie Sie Ihre Anwendungen mit Beispielcode aus der Praxis vor diesen Angriffen schützen können.

Was ist DOM-basiertes XSS?

DOM-basiertes XSS ist eine Art XSS-Angriff, bei dem die Schwachstelle im clientseitigen Code und nicht im serverseitigen Code liegt. Es tritt auf, wenn eine Webanwendung Daten aus einer nicht vertrauenswürdigen Quelle, z. B. Benutzereingaben, verwendet und diese ohne ordnungsgemäße Validierung oder Escape-Funktion in das DOM schreibt. Dies kann zur Ausführung bösartiger Skripte im Kontext der Webseite führen, wodurch Angreifer Daten stehlen, Sitzungen kapern und mehr können.

So funktioniert DOM-basiertes XSS

Lassen Sie uns ein einfaches Szenario aufschlüsseln, um zu verstehen, wie ein Angreifer DOM-basiertes XSS ausnutzen könnte:

Beispiel für eine anfällige Webanwendung
Stellen Sie sich eine einfache Webseite vor, die mithilfe von Benutzereingaben aus dem URL-Hash eine Begrüßungsnachricht anzeigt.

Wie ein Angreifer die Sicherheitslücke ausnutzt

1. Erstellen einer schädlichen URL: Ein Angreifer kann eine URL erstellen, die schädlichen JavaScript-Code im URL-Hash enthält. Zum Beispiel:

https://xyz.com/#

2. Weitergabe der schädlichen URL: Der Angreifer teilt diese URL mit potenziellen Opfern, die möglicherweise ohne Verdacht darauf klicken. Der Angreifer kann diesen Link per E-Mail, über soziale Medien oder auf andere Weise verbreiten.

3. Ausnutzung der Sicherheitslücke: Wenn ein Opfer die bösartige URL besucht, extrahiert die Webanwendung den Wert aus dem URL-Hash und fügt ihn in das DOM ein. Das bösartige Skript wird im Kontext der Webseite ausgeführt.

Ergebnis: Dem Opfer wird ein Warnfeld mit der Meldung „XSS“ angezeigt, das darauf hinweist, dass das Skript ausgeführt wurde. Bei einem echten Angriff könnte das bösartige Skript Aktionen wie das Stehlen von Cookies, das Erfassen von Tastenanschlägen oder die Weiterleitung des Benutzers auf eine Phishing-Site ausführen.

    var userInput = window.location.hash.substring(1);
    document.getElementById('message').innerHTML = "Hello, "   userInput   "!";
    // This results in: Hello, !
    // The alert will pop up

Verhinderung von DOM-basiertem XSS

Befolgen Sie zum Schutz vor DOM-basiertem XSS die folgenden Best Practices:

1. Benutzereingaben bereinigen und maskieren: Benutzereingaben immer bereinigen und maskieren, bevor sie in das DOM eingefügt werden. Verwenden Sie Bibliotheken wie DOMPurify, um HTML zu bereinigen.

2. Verwenden Sie sichere DOM-Manipulationsmethoden: Verwenden Sie anstelle von innerHTML sicherere Methoden wie textContent oder createElement und appendChild.

3. Inhaltssicherheitsrichtlinie (CSP): Implementieren Sie einen starken CSP, um die Quellen einzuschränken, aus denen Skripte geladen und ausgeführt werden können.

DOM-basiertes XSS ist ein kritisches Sicherheitsrisiko, das Ihre Webanwendung und Benutzerdaten gefährden kann. Durch die Befolgung von Best Practices wie der Bereinigung und dem Ausblenden von Benutzereingaben, der Verwendung sicherer DOM-Manipulationsmethoden und der Implementierung einer robusten Inhaltssicherheitsrichtlinie können Sie das Risiko DOM-basierter XSS-Angriffe erheblich reduzieren.

Seien Sie wachsam und stellen Sie sicher, dass Ihre JavaScript-Anwendungen vor diesen und anderen Schwachstellen geschützt sind. Wenn Sie Fragen haben oder weitere Hilfe benötigen, können Sie uns gerne in den Kommentaren unten kontaktieren.