DOMXSS-Schwachstelle/DE

Aus Siwecos
Wechseln zu: Navigation, Suche

Überprüfung des JavaScript-Codes nach DOMXSS-Sinks

Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.

Ergebnis positiv Automatisiert wurden keine unsicheren Codebestandteile für DOMXSS-Sinks erkannt.
Ergebnis negativ Unsicheren JavaScript-Code verwendet DOMXSS-Sinks.
Beschreibung Es wurde mindestens eine Codestelle beim Scan Ihrer Webseite gefunden, der unter bestimmten Voraussetzungen auf eine DOM-basierende Cross-Site Scripting-Anfälligkeit hindeutet. Diese Stelle kann eine Schwachstelle auf Ihrer Webseite darstellen.
Hintergrund Cross-Site Scripting stellt eine Möglichkeit dar, den HTML-Code auf Ihrer Webseite zu manipulieren und zu infiltrieren. Es ermöglicht einem Angreifer, Skripte indirekt an den Browser Ihres Webseiten-Besuchers zu senden und damit Schadcode auf der Seite des Besuchers auszuführen.
Auswirkung Cross-Site Scripting ermöglicht es Kriminellen auf Ihrer Webseite Schadcode zu hinterlegen. Dieser Code kann Ihre Besucher oder Kunden infizieren und so möglicherweise massiven Schaden anrichten, z. B. wenn der Schadcode zur Installation eines Erpressungstrojaners in dessen Unternehmensnetzwerk führt. In diesem Fall könnten Sie für den Schaden haftbar gemacht werden. IT-Sicherheitsunternehmen könnten Sie in den Index von gefährlichen Webseiten aufnehmen und so Dritten den Zugriff auf Ihre Webseite aus Sicherheitsgründen verweigern. Die Information, dass Ihre Webseite Schadsoftware enthält/enthielt, ist auch viele Jahre nach dem Entfernen des Schadcodes bei Internet-Suchmaschinen ersichtlich. Eine Listung auf solch einer Blacklist kann zudem dazu führen, dass Sie auch keine E-Mails mehr empfangen oder senden können, da Ihr gesamtes Netzwerk und die IP als Gefährdung anderer eingestuft wird.
Lösung/Tipps Wenn unsicherer JavaScript-Code gemeldet wird, ist die Webanwendung eventuell anfällig für sog. DOMXSS-Angriffe.

Das Ergebnis der Untersuchung kann nur als Hinweis auf Sicherheitslücken verwendet werden. Weitere Tests sind erforderlich, um die Schwachstellen auf der Webseite zu bestätigen.