XSS und Co

Immer wieder wird Webspace mit XSS und Co verseucht.

Aber es ist nicht immer die dort eingesetzte Software die diesem Schadcode einen Zugang erlaubt.

Im Gegenteil - es sind in der Mehrzahl befallene Rechner über die ein Upload erfolgt.

Fängt sich ein Arbeitsplatzrechner einen Virus ein gibt es zahlreiche Schadprogramme die dann alles auf dem Rechner abklappern was .htm .html .php  .tpl .js als Endung hat plus eine ganze Anzahl weiterer Dateiendungen.
Allen gefundenen Dateien wird ein Initialzünder injiziert.
Dieser soll entweder dafür sorgen das der Schadcode sich vermehrt und / oder Aktionen durchführen welche dem Autoren des Schadcodes nützen soll.

Benutzt nun jemand ein FTP Programm um seine Webdateien zu aktualisieren, dann überträgt er infizierte Dateien und der Schadcode kann wirken.

XSS wird nicht von allen Browsern ausgeführt. So wird Google Chrome die Abarbeitung verweigern während Firefox den ausführen wird. Bei Chrome lässt sich je nachdem wo und was der Schadcode bewirkt eine optische Störung des Outputs erkennen und nur über Element untersuchen erhält man entsprechende Hinweise auf abgebrochene Ausführung eines vermuteten Schadcodes.

Der angeblich so sichere Internet Explorer führt ebenfalls fast sämtlichen Schadcode aus.

Grundsätzliche Vermeidung des Schadcodeproblems bedeutet seinen Entwicklungsrechner sauber zu halten.

Anit - Virenprogramme sind hilfreich aber auch der Einsatz von  Betriebssystemen wie Linux bei denen man Rechte sehr scharf einstellen kann.

Webanwendungen selbst kann man dadurch schützen in dem alle GET und POST Daten vor Verwendung radikal gefiltert werden, d.h. es werden alle denkbaren Inhalte die XSS bedeuten können komplett entfernt.

Beliebt und bei erstaunlich vielen Webapplikationen ist SQL-Injection möglich.
Ursache ist eine Beteiligung von Freizeitprogrammierern die viel zu wenig Wissen haben wie so etwas funktioniert und wie es vermeidbar ist.
Da werden z.B. in Produktforen Lösungsansätze für kleine Dinge des Weblebens von angeblichen Könnern angeboten und als solche akzeptiert - weil sie praktisch auch funktionieren - bieten aber ungemein einfache Angriffsmöglichkeiten für die bösen Buben.

Ja sogar als professionell auftretende Dienstleister welche tatsächlich Filialbetriebe von Großunternehmen mit Milliardenumsätzen in empfindlichen Bereichen betreuen haben weder gegen XSS noch Injection die kleinste Abwehrmaßnahme im Angebot.

Sie verlassen sich da voll auf ihre VPN Netzwerke und vergessen tatsächlich das das Notebook eines Mitarbeiters die Eintrittskarte bedeuten kann.

Das ist nicht nur bodenlos leichtsinnig sondern im höchsten Grade fahrlässig - aber durchaus in der Praxis zu finden und zwar nicht selten.
Solche Produkte sind oftmals unter enormen Zeitdruck gewachsen - das schnell erreichte primäre Ergebnis zählt und nicht die Sicherheit.
Der Aufwand solche Produkte auf einen angemessenen Sicherheitsstand anzuheben ist enorm und wegen des immer gleich bleibenden Zeitdrucks  mit der alten Mannschaftsstärke nicht zu machen.

XSS Angriffe und SQL Injection lassen sich natürlich auch über die URL eines Seitenaufrufes machen.
Solche Angriffsmethoden dienen aber eher dem Test ob ein System anfällig ist.
Für einen praktischen Angriff muss man sehr gute Kenntnisse vom Produkt selbst haben und das lohnt sich nur wenn das Produkt reichlich Verbreitung aufweist.
Es da etwas möglich kann der Schaden enorm sein und ist schwer zu entdecken, da ganz schlaue Schadcodeprogrammierer keinesfalls die Kuh die sie melken beschädigen wollen.
Es geht dann immer um Zugangsdaten  und vor allem um persönliche Daten mit Bankverbindungen oder Kreditkartendaten.
Die reinen Spasshacker die eine Site so hacken um die Inhalte mit ihrer Statusmeldung zu ersetzen gibt es zwar auch noch sind aber in der Minderheit - der Schaden ist aber dennoch da und kann sehr teuer werden wenn alle Inhalte flöten gegangen sind.