Featured image for Wat is XSS? Alles over: Cross Site Scripting in category ITHEMES SECURITY

Wat is XSS? Alles over: Cross Site Scripting

In de basis wordt Cross Site Scripting mogelijk wanneer formulieren niet goed gesloten zijn, niet filteren welke informatie je in kunt vullen.

Waarom heet het XSS als het Cross Site Scripting is?

Deze afkorting is aangepast omdat CSS (Cascading Style Sheets) al bestaat.

Hoe werkt Cross Site Scripting?

Wanneer een formulier geen “htmlspecialchars” gebruikt, en alle tekens in een input field ingevoerd en volledig ge-processed kunnen worden, krijg je de mogelijkheid om php uit te voeren op de website/server.

Via XSS kun je de server opdrachten geven. Bedenk dan eens wat je kunt doen, bestanden aanpassen, opslaan, uitvoeren etc.. zaken die je normaal alleen als beheerder van de website kunt en mag doen.

Wat is het nadeel als iemand een Cross Site Scripting op je website heeft kunnen uitvoeren?

  1. Je website kan grafisch aangepast worden
  2. Er kunnen pagina’s zichtbaar worden gemaakt die je alleen privé of voor betaalde gebruikers had willen tonen
  3. Er kan informatie van jou en je bezoekers worden gestolen (de info in de cookies)
  4. Er kan een phishing code op je site gezet worden (snelle Google ban volgt)
  5. Er kunnen bestanden op de computer van bezoekers worden aangeboden zonder dat je het weet (trojans)
  6. Je toetsaanslagen op het keyboard kunnen opgeslagen worden (denk aan wat je intypt als je naar de site van je bank gaat om in te loggen)
  7. Je browser kan crashen door een geforceerde error-overload
  8. En meer..

Buiten het aanpassen van de website heeft XSS ook invloed op je browser/computer

– Via de browser kan de webcam aangezet worden, en een opname gestart worden.
– Er kan worden meegeluisterd via de microfoon.
– Er kunnen bestanden worden opgeslagen.
Etc..

XSS, daar heb ik nog nooit mee te maken gehad als bezoeker van websites.. toch?

Ken je de popup: “Wilt u deze pagina verlaten?”.
In veel gevallen kun je die weg klikken, [x] maar wanneer dit niet kan en je je op een website bevindt die niet erg netjes is.. Ga er dan maar van uit dat er onder de button “pagina verlaten” en “terug” stukjes code staan die je liever niet uitvoert op je pc.

De browser volledig afsluiten is in dat geval het beste! (taakbeheerder in Windows en browser beëindigen)

Hoe voorkom ik XSS problemen met mijn WordPress website?

Je kunt in de WPscan database controleren of 1 van je plugins een lek heeft.
WordPress kun je het up-to-date houden, zeker als die niet beveiligd is. WordPress update soms wel 2x per maand als er Cross Site Scripting mogelijkheden gevonden worden!

Het beste kun je natuurlijk zorgen dat je WordPress website beveiligd is.
Wanneer je website beveiligd is en een hacker of script niet zomaar bestanden kan plaatsen of aanpassingen kan maken voorkom je al heel veel.

  • Mark says:

    Begrijp ik het goed? Als je alle karakters in een reactie kunt invoeren, dan kan je daar een php script inzetten en als er dan een kwetsbare plugin op je site staat, kan dat script iets doen op je site of in de browser van de bezoeker.

    • WPbeveiligen says:

      Inderdaad Mark, maar alleen als je alle karakters in kunt vullen en als die dan ook uitgevoerd worden.
      Een goede plugin, de reactieruimte van WordPress is tegenwoordig zo geprogrammeerd dat de karakters vertaald worden of omgezet naar “niet schadelijke” karakters.