XSS of cross-site scripting

Cross-site scripting is de term voor code-injectie, een vorm van hacking waarbij de hacker gebruik maakt van het principe dat we nu even het ‘beleid van dezelfde oorsprong is veilig’ noemen. Het is mogelijk door een fout in de beveiliging van een webapplicatie.

Hoe werkt XSS of cross-site scripting?

Als in een webbrouwser toestemming wordt gegeven voor het opslaan van (bijvoorbeeld) cookies van een bepaalde bron (bijvoorbeeld https://mijnbank.nl), dan deelt alle inhoud afkomstig van dezelfde url en URI schema, hostnaam en poortnummer, deze rechten. Een hacker maakt gebruik van deze automatische toestemming door malware te injecteren geleverd vanuit een vertrouwde bron en met de machtigingen die aan die bron zijn verleend. Hiermee kan de hacker sessiecookies bekijken, sessies van een gebruiker overnemen, functionaliteit van een website verrijken of andere onbedoelde acties uitvoeren.

Een XSS-aanval kan slechts geringe overlast bezorgen, maar ze kan ook enorme beveiligingsrisico’s met zich meebrengen. Onderzoek van de Consumentenbond in 2015 wijst uit dat er op dat moment 38 van de 100 webshops kwetsbaar bleek voor XSS aanvallen.

Wil je meer weten over XSS en cross-site scripting? Bekijk hier een overzicht met cyber security bedrijven die je hierbij kunnen helpen.

Onze partners

Ook partner worden?