Gesellschaft für Informatik e.V.

Lecture Notes in Informatics


Sicherheit 2014 -- Sicherheit, Schutz und Zuverlässigkeit P-228, 53-64 (2014).

Gesellschaft für Informatik, Bonn
2014


Copyright © Gesellschaft für Informatik, Bonn

Contents

DOM-basiertes Cross-Site Scripting im Web: Reise in ein unerforschtes Land

Ben Stock , Sebastian Lekies and Martin Johns

Abstract


Cross-site Scripting (XSS) ist eine weit verbreitete Verwundbarkeitsklasse in Web-Anwendungen und kann sowohl von server-seitigem als auch von clientseitigem Code verursacht werden. Allerdings wird XSS primär als ein server-seitiges Problem wahrgenommen, motiviert durch das Offenlegen von zahlreichen entsprechenden XSS-Schwächen. In den letzten Jahren jedoch kann eine zunehmende Verlagerung von Anwendungslogik in den Browser beobachtet werden eine Entwicklung die im Rahmen des sogenannten Web 2.0 begonnen hat. Dies legt die Vermutung nahe, dass auch client-seitiges XSS an Bedeutung gewinnen könnte. In diesem Beitrag stellen wir eine umfassende Studie vor, in der wir, mittels eines voll-automatisierten Ansatzes, die führenden 5000 Webseiten des Alexa Indexes auf DOM-basiertes XSS untersucht haben. Im Rahmen dieser Studie, konnten wir 6.167 derartige Verwundbarkeiten identifizieren, die sich auf 480 der untersuchten Anwendungen verteilen.


Full Text: PDF

Gesellschaft für Informatik, Bonn
ISBN 978-3-88579-622-0


Last changed 15.04.2014 18:32:19