MOOCit

XSS (Cross-Site Scripting)



XSS (Cross-Site Scripting)


Einleitung

Cross-Site Scripting (XSS) ist ein Sicherheitsrisiko in der Welt der Webentwicklung, das auftritt, wenn Angreifer es schaffen, schädlichen Script-Code in Webseiten einzufügen, die von nichtsahnenden Nutzern aufgerufen werden. Diese Art von Angriff ermöglicht es dem Angreifer, sensible Daten von Benutzern zu stehlen, sich als diese auszugeben oder ihre Interaktionen mit der Webseite zu manipulieren. In diesem aiMOOC erforschen wir, was XSS genau ist, wie es funktioniert, und welche Maßnahmen Entwickler und Webseitenbetreiber ergreifen können, um sich gegen solche Angriffe zu schützen.


Was ist Cross-Site Scripting (XSS)?

Cross-Site Scripting, kurz XSS, bezeichnet eine Sicherheitslücke in Webanwendungen, die es Angreifern ermöglicht, Client-seitigen Code, meist JavaScript, in Webseiten einzuschleusen, die andere Nutzer anzeigen und verwenden. Im Gegensatz zu vielen anderen Sicherheitsproblemen, bei denen der Angriff direkt gegen den Server gerichtet ist, zielt XSS darauf ab, Endnutzer zu kompromittieren, indem deren Browser manipuliert wird.


Arten von XSS-Angriffen

Es gibt hauptsächlich drei Arten von Cross-Site Scripting-Angriffen:


Reflektiertes XSS

Bei reflektiertem XSS wird der schädliche Code über die URL oder durch Einreichung eines Formulars an die Webseite übermittelt. Der Server reflektiert den Code dann in der Antwort zurück zum Browser des Nutzers, wo er ausgeführt wird. Dieser Angriffstyp erfordert oft, dass der Angreifer sein Opfer dazu bringt, einen präparierten Link anzuklicken.


Gespeichertes XSS

Gespeichertes XSS findet statt, wenn schädlicher Code dauerhaft auf dem Zielserver gespeichert wird, beispielsweise in einem Kommentar auf einem Blog oder in einem Nutzerprofil. Jedes Mal, wenn die infizierte Seite geladen wird, wird der schädliche Code ausgeführt, ohne dass weitere Interaktionen des Opfers erforderlich sind.


DOM-basiertes XSS

DOM-basiertes XSS erfolgt, wenn der Angriff sich auf Änderungen im Document Object Model (DOM) der Webseite und nicht auf Daten richtet, die vom Server kommen. Der schädliche Code wird durch Skripte auf der Seite selbst ausgelöst, die aufgrund der Änderungen im DOM ausgeführt werden.


Wie funktioniert XSS?

Cross-Site Scripting funktioniert, indem es die Vertrauensbeziehung zwischen einem Nutzer und einer bestimmten Webseite ausnutzt. Der Angreifer schafft es, seinen eigenen Code in die Seite einzubetten, der dann vom Browser des Nutzers als Teil der Seite ausgeführt wird. Dies kann zum Stehlen von Cookies, Session-Tokens oder anderen sensiblen Informationen führen, zur Umleitung auf bösartige Webseiten oder zum Anzeigen von betrügerischen Inhalten.


Prävention und Schutzmaßnahmen

Um XSS-Angriffe zu verhindern, müssen Entwickler und Webseitenbetreiber eine Reihe von Sicherheitspraktiken anwenden:


Daten-Input-Validierung

Alle Eingaben von Nutzern sollten validiert und gereinigt werden, um sicherzustellen, dass schädlicher Code nicht in die Webanwendung gelangt.


Einsatz von Content Security Policy (CSP)

Durch die Verwendung einer Content Security Policy können Entwickler den Browser anweisen, nur Skripte von vertrauenswürdigen Quellen auszuführen.


Verwendung von sicheren Programmierpraktiken

Das Vermeiden von unsicheren API-Aufrufen und die Verwendung von Text-Inhaltsmethoden statt HTML-Inhaltsmethoden können dazu beitragen, XSS zu verhindern.


Interaktive Aufgaben


Quiz: Teste Dein Wissen

Was ist Cross-Site Scripting (XSS)? (Eine Sicherheitslücke, die es Angreifern ermöglicht, schädlichen Code in Webseiten einzuschleusen) (!Ein Angriff auf die Server-Infrastruktur) (!Eine Methode, um verschlüsselte Daten zu stehlen) (!Ein Werkzeug zur Webentwicklung)

Welche Art von XSS-Angriff speichert den schädlichen Code auf dem Server? (Gespeichertes XSS) (!Reflektiertes XSS) (!DOM-basiertes XSS) (!Phishing-Angriff)

Welche Maßnahme hilft NICHT gegen XSS? (!Daten-Input-Validierung) (!Einsatz einer Content Security Policy) (!Verwendung von sicheren Programmierpraktiken) (Erweiterung der Server-Speicherkapazität)





Memory

Reflektiertes XSS Über URL übermittelte Angriffe
Gespeichertes XSS Auf dem Server gespeicherter schädlicher Code
DOM-basiertes XSS Änderungen im Document Object Model





Kreuzworträtsel

Validierung Maßnahme zur Überprüfung von Nutzereingaben
CSP Abkürzung für Content Security Policy
Cookie Häufiges Ziel bei XSS-Angriffen
DOM Struktur, die bei bestimmten XSS-Angriffen manipuliert wird




LearningApps

Lückentext

Vervollständige den Text.

Cross-Site Scripting

ist eine Sicherheitslücke, bei der Angreifer schädlichen Code

einbetten. Es gibt drei Hauptarten von XSS-Angriffen:

,

und

XSS.



Offene Aufgaben

Leicht

  1. Recherche zur Geschichte von XSS: Finde heraus, wann der erste XSS-Angriff dokumentiert wurde und beschreibe die Umstände.
  2. Erkennung von XSS-Angriffen: Wähle eine beliebige Webseite und analysiere, ob sie anfällig für XSS-Angriffe sein könnte. Beschreibe, wie du vorgegangen bist.
  3. Aufklärung über XSS: Erstelle ein Informationsblatt über XSS, das für Nicht-Techniker verständlich ist.

Standard

  1. Programmierung einer sicheren Webanwendung: Entwickle eine kleine Webanwendung, die gegen die drei Hauptarten von XSS-Angriffen geschützt ist. Dokumentiere deine Vorgehensweise.
  2. Analyse von CSP: Untersuche, wie eine Content Security Policy (CSP) konfiguriert werden muss, um XSS-Angriffe zu verhindern.
  3. Schulung zur Web-Sicherheit: Erstelle eine Schulungseinheit für Entwickler zum Thema XSS und dessen Prävention.

Schwer

  1. Erstellen eines XSS-Schutz-Tools: Entwickle ein Tool oder ein Skript, das Webentwickler bei der Prävention von XSS-Angriffen unterstützt.
  2. Forschungsprojekt zu XSS-Trends: Führe eine Forschungsarbeit über die neuesten Trends und Techniken im Bereich XSS durch.
  3. Entwicklung eines automatisierten Tests für XSS-Anfälligkeit: Entwickle ein Tool, das automatisiert Webseiten auf XSS-Anfälligkeit testet.




Text bearbeiten Bild einfügen Video einbetten Interaktive Aufgaben erstellen



Lernkontrolle

  1. Analyse eines realen XSS-Angriffs: Beschreibe einen realen Fall eines XSS-Angriffs und analysiere, welche Schutzmaßnahmen gefehlt haben.
  2. Entwicklung einer Anti-XSS-Strategie: Entwirf eine umfassende Strategie zum Schutz einer großen E-Commerce-Webseite vor XSS-Angriffen.
  3. Vergleich von XSS mit anderen Web-Sicherheitsproblemen: Vergleiche XSS mit mindestens zwei anderen Web-Sicherheitsproblemen hinsichtlich der Risiken und Präventionsmaßnahmen.
  4. Erstellen einer Checkliste für die Sicherheitsüberprüfung: Erstelle eine Checkliste für Webentwickler, um ihre Anwendungen auf XSS-Anfälligkeiten zu überprüfen.
  5. Bewertung der Effektivität von CSP: Bewerte, inwiefern eine Content Security Policy (CSP) tatsächlich vor XSS-Angriffen schützen kann.

OERs zum Thema


Links

Teilen - Diskussion - Bewerten





Schulfach+

Prüfungsliteratur 2026
Bundesland Bücher Kurzbeschreibung
Baden-Württemberg

Abitur

  1. Der zerbrochne Krug - Heinrich von Kleist
  2. Heimsuchung - Jenny Erpenbeck

Mittlere Reife

  1. Der Markisenmann - Jan Weiler oder Als die Welt uns gehörte - Liz Kessler
  2. Ein Schatten wie ein Leopard - Myron Levoy oder Pampa Blues - Rolf Lappert

Abitur Dorfrichter-Komödie über Wahrheit/Schuld; Roman über einen Ort und deutsche Geschichte. Mittlere Reife Wahllektüren (Roadtrip-Vater-Sohn / Jugendroman im NS-Kontext / Coming-of-age / Provinzroman).

Bayern

Abitur

  1. Der zerbrochne Krug - Heinrich von Kleist
  2. Heimsuchung - Jenny Erpenbeck

Abitur Lustspiel über Machtmissbrauch und Recht; Roman als Zeitschnitt deutscher Geschichte an einem Haus/Grundstück.

Berlin/Brandenburg

Abitur

  1. Der zerbrochne Krug - Heinrich von Kleist
  2. Woyzeck - Georg Büchner
  3. Der Biberpelz - Gerhart Hauptmann
  4. Heimsuchung - Jenny Erpenbeck

Abitur Gerichtskomödie; soziales Drama um Ausbeutung/Armut; Komödie/Satire um Diebstahl und Obrigkeit; Roman über Erinnerungsräume und Umbrüche.

Bremen

Abitur

  1. Nach Mitternacht - Irmgard Keun
  2. Mario und der Zauberer - Thomas Mann
  3. Emilia Galotti - Gotthold Ephraim Lessing oder Miss Sara Sampson - Gotthold Ephraim Lessing

Abitur Roman in der NS-Zeit (Alltag, Anpassung, Angst); Novelle über Verführung/Massenpsychologie; bürgerliche Trauerspiele (Moral, Macht, Stand).

Hamburg

Abitur

  1. Der zerbrochne Krug - Heinrich von Kleist
  2. Das kunstseidene Mädchen - Irmgard Keun

Abitur Justiz-/Machtkritik als Komödie; Großstadtroman der Weimarer Zeit (Rollenbilder, Aufstiegsträume, soziale Realität).

Hessen

Abitur

  1. Der zerbrochne Krug - Heinrich von Kleist
  2. Woyzeck - Georg Büchner
  3. Heimsuchung - Jenny Erpenbeck
  4. Der Prozess - Franz Kafka

Abitur Gerichtskomödie; Fragmentdrama über Gewalt/Entmenschlichung; Erinnerungsroman über deutsche Brüche; moderner Roman über Schuld, Macht und Bürokratie.

Niedersachsen

Abitur

  1. Der zerbrochene Krug - Heinrich von Kleist
  2. Das kunstseidene Mädchen - Irmgard Keun
  3. Die Marquise von O. - Heinrich von Kleist
  4. Über das Marionettentheater - Heinrich von Kleist

Abitur Schwerpunkt auf Drama/Roman sowie Kleist-Prosatext und Essay (Ehre, Gewalt, Unschuld; Ästhetik/„Anmut“).

Nordrhein-Westfalen

Abitur

  1. Der zerbrochne Krug - Heinrich von Kleist
  2. Heimsuchung - Jenny Erpenbeck

Abitur Komödie über Wahrheit und Autorität; Roman als literarische „Geschichtsschichtung“ an einem Ort.

Saarland

Abitur

  1. Heimsuchung - Jenny Erpenbeck
  2. Furor - Lutz Hübner und Sarah Nemitz
  3. Bahnwärter Thiel - Gerhart Hauptmann

Abitur Erinnerungsroman an einem Ort; zeitgenössisches Drama über Eskalation/Populismus; naturalistische Novelle (Pflicht/Überforderung/Abgrund).

Sachsen (berufliches Gymnasium)

Abitur

  1. Der zerbrochne Krug - Heinrich von Kleist
  2. Woyzeck - Georg Büchner
  3. Irrungen, Wirrungen - Theodor Fontane
  4. Der gute Mensch von Sezuan - Bertolt Brecht
  5. Heimsuchung - Jenny Erpenbeck
  6. Der Trafikant - Robert Seethaler

Abitur Mischung aus Klassiker-Drama, sozialem Drama, realistischem Roman, epischem Theater und Gegenwarts-/Erinnerungsroman; zusätzlich Coming-of-age im historischen Kontext.

Sachsen-Anhalt

Abitur

  1. (keine fest benannte landesweite Pflichtlektüre veröffentlicht; Themenfelder)

Abitur Schwerpunktsetzung über Themenfelder (u. a. Literatur um 1900; Sprache in politisch-gesellschaftlichen Kontexten), ohne feste Einzeltitel.

Schleswig-Holstein

Abitur

  1. Der zerbrochne Krug - Heinrich von Kleist
  2. Heimsuchung - Jenny Erpenbeck

Abitur Recht/Gerechtigkeit und historische Tiefenschichten eines Ortes – umgesetzt über Drama und Gegenwartsroman.

Thüringen

Abitur

  1. (keine fest benannte landesweite Pflichtlektüre veröffentlicht; Orientierung am gemeinsamen Aufgabenpool)

Abitur In der Praxis häufig Orientierung am gemeinsamen Aufgabenpool; landesweite Einzeltitel je nach Vorgabe/Handreichung nicht einheitlich ausgewiesen.

Mecklenburg-Vorpommern

Abitur

  1. (Quelle aktuell technisch nicht abrufbar; Beteiligung am gemeinsamen Aufgabenpool bekannt)

Abitur Land beteiligt sich am länderübergreifenden Aufgabenpool; konkrete, veröffentlichte Einzeltitel konnten hier nicht ausgelesen werden.

Rheinland-Pfalz

Abitur

  1. (keine landesweit einheitliche Pflichtlektüre; schulische Auswahl)

Abitur Keine landesweite Einheitsliste; Auswahl kann schul-/kursbezogen erfolgen.




aiMOOCs



aiMOOC Projekte












THE MONKEY DANCE



Video laden
YouTube


The Monkey DanceaiMOOCs

  1. Trust Me It's True: #Verschwörungstheorie #FakeNews
  2. Gregor Samsa Is You: #Kafka #Verwandlung
  3. Who Owns Who: #Musk #Geld
  4. Lump: #Trump #Manipulation
  5. Filth Like You: #Konsum #Heuchelei
  6. Your Poverty Pisses Me Off: #SozialeUngerechtigkeit #Musk
  7. Hello I'm Pump: #Trump #Kapitalismus
  8. Monkey Dance Party: #Lebensfreude
  9. God Hates You Too: #Religionsfanatiker
  10. You You You: #Klimawandel #Klimaleugner
  11. Monkey Free: #Konformität #Macht #Kontrolle
  12. Pure Blood: #Rassismus
  13. Monkey World: #Chaos #Illusion #Manipulation
  14. Uh Uh Uh Poor You: #Kafka #BerichtAkademie #Doppelmoral
  15. The Monkey Dance Song: #Gesellschaftskritik
  16. Will You Be Mine: #Love
  17. Arbeitsheft
  18. And Thanks for Your Meat: #AntiFactoryFarming #AnimalRights #MeatIndustry


© The Monkey Dance on Spotify, YouTube, Amazon, MOOCit, Deezer, ...

Video laden
YouTube



Text bearbeiten Bild einfügen Video einbetten Interaktive Aufgaben erstellen

Teilen Facebook Twitter Google Mail an MOOCit Missbrauch melden Zertifikat beantragen


0.00
(0 Stimmen)



Sponsoren, Förderer, Kooperationspartner








Children for a better world >> Förderung der AI Fair-Image Challenge

Fair-Image wird von CHILDREN JUGEND HILFT! gefördert und ist mit der deutschlandweiten AI Fair-Image Challenge SIEGERPROJEKT 2025. Alle Infos zur Challenge hier >>. Infos zum Camp25 gibt es hier. Wenn auch Ihr Euch ehrenamtlich engagiert und noch finanzielle Unterstützung für Eurer Projekt braucht, dann stellt gerne einen Antrag bei JUGEND HILFT.








Abgerufen von „https://moocit.de/index.php?title=XSS_(Cross-Site_Scripting)&oldid=77874