Wat is XSS? Alles over: Cross Site Scripting

Wat is XSS? Alles over: Cross Site Scripting
datum-geschreven 9 aug 2015

In de basis wordt Cross Site Scripting mogelijk wanneer formulieren niet goed gesloten zijn, niet filteren welke informatie je in kunt vullen.

Waarom heet het XSS als het Cross Site Scripting is?

Deze afkorting is aangepast omdat CSS (Cascading Style Sheets) al bestaat.

Hoe werkt Cross Site Scripting?

Wanneer een formulier geen “htmlspecialchars” gebruikt, en alle tekens in een input field ingevoerd en volledig ge-processed kunnen worden, krijg je de mogelijkheid om php uit te voeren op de website/server.

Via XSS kun je de server opdrachten geven. Bedenk dan eens wat je kunt doen, bestanden aanpassen, opslaan, uitvoeren etc.. zaken die je normaal alleen als beheerder van de website kunt en mag doen.

Wat is het nadeel als iemand een Cross Site Scripting op je website heeft kunnen uitvoeren?

  1. Je website kan grafisch aangepast worden
  2. Er kunnen pagina’s zichtbaar worden gemaakt die je alleen privé of voor betaalde gebruikers had willen tonen
  3. Er kan informatie van jou en je bezoekers worden gestolen (de info in de cookies)
  4. Er kan een phishing code op je site gezet worden (snelle Google ban volgt)
  5. Er kunnen bestanden op de computer van bezoekers worden aangeboden zonder dat je het weet (trojans)
  6. Je toetsaanslagen op het keyboard kunnen opgeslagen worden (denk aan wat je intypt als je naar de site van je bank gaat om in te loggen)
  7. Je browser kan crashen door een geforceerde error-overload
  8. En meer..

Buiten het aanpassen van de website heeft XSS ook invloed op je browser/computer

– Via de browser kan de webcam aangezet worden, en een opname gestart worden.
– Er kan worden meegeluisterd via de microfoon.
– Er kunnen bestanden worden opgeslagen.
Etc..

XSS, daar heb ik nog nooit mee te maken gehad als bezoeker van websites.. toch?

Ken je de popup: “Wilt u deze pagina verlaten?”.
In veel gevallen kun je die weg klikken, [x] maar wanneer dit niet kan en je je op een website bevindt die niet erg netjes is.. Ga er dan maar van uit dat er onder de button “pagina verlaten” en “terug” stukjes code staan die je liever niet uitvoert op je pc.

De browser volledig afsluiten is in dat geval het beste! (taakbeheerder in Windows en browser beëindigen)

Hoe voorkom ik XSS problemen met mijn WordPress website?

Je kunt in de WPscan database controleren of 1 van je plugins een lek heeft.
WordPress kun je het up-to-date houden, zeker als die niet beveiligd is. WordPress update soms wel 2x per maand als er Cross Site Scripting mogelijkheden gevonden worden!

Het beste kun je natuurlijk zorgen dat je WordPress website beveiligd is.
Wanneer je website beveiligd is en een hacker of script niet zomaar bestanden kan plaatsen of aanpassingen kan maken voorkom je al heel veel.

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
2 Reacties
Inline Feedbacks
Bekijk alle reacties
Mark

Begrijp ik het goed? Als je alle karakters in een reactie kunt invoeren, dan kan je daar een php script inzetten en als er dan een kwetsbare plugin op je site staat, kan dat script iets doen op je site of in de browser van de bezoeker.