XSS ist ein Angriff, der eine Injektion und Ausführung ermöglicht, die bösartige HTML- oder JavaScript-Aktionenausführen kann. Dies kann verwendet werden, um kritische Daten (z. B. Sitzungsdaten) aus Cookieszu stehlen. Da der Code im Kontext einer anfälligen Anwendung ausgeführt wird, können Sie andere Angriffe wie Phishing, Tastaturanmeldung oder Benutzerumleitung auf eine bösartige Seite ausführen. Im Falle von "stored Cross-Site Scripting" wird der injizierte Code dauerhaft in die App eingefügt, was gefährlicher ist als "Reflected Cross-Site Scripting", bei dem der Angreifer dem Opfer einen speziell vorbereiteten Link zusaugte.
In einer der untersuchten Anwendungen wurden mehrere Parameter identifiziert, die anfällig für javascript-Injektionen sind. Im Folgenden wird ein Auszug aus der Anforderung mit rot markiertem bösartigen Code angezeigt. Er führt eine Aktion aus, die eine Warnung anzeigt,und zielt nur darauf ab, zu dokumentieren, dass ein solcher Angriff möglich ist. Bei einem echten Angriff stehlen Hacker am häufigsten mit XSS einen Sitzungskeks.
In der folgenden Abbildung wird die Ausführung von bösartigem Code im Opferbrowser durch eine Aktion angezeigt, die eine Warnung anzeigt.
