Gefährliche XSS-Sicherheitslücke bei Lieferando
Julian Totzek-Hallhuber gibt im Folgenden drei Tipps:
„1. Input reinigen. Um XSS-Attacken zu vermeiden ist eine Reinigung des Inputs der erste Schritt. Durch intelligente und konsistente Filter in Eingabefeldern können schädliche Nutzer keinen ausführenden Code mehr eingeben. So kann eine grosse Anzahl von Attacken vermieden werden.
2. Output verschlüsseln. Nutzerabfragen müssen relevant und – noch viel wichtiger – nicht schädlich sein. Eine besondere Rolle spielen hier Sonderzeichen, wie Fragezeichen, spitze Klammern und das kaufmännische „Und“, die häufig verwendet werden. Diese sollten sofern anwendbar immer in das kodierte Äquivalent gewandelt werden.
3. Nutzern erlauben, Client-seitige Skripts zu deaktivieren. Sofern die Web-Anwendung Client-seitige Skripts verwendet, sollten Anwender die Möglichkeit haben, diese komplett auszuschalten. Dies garantiert sowohl für den Nutzer als auch für das Unternehmen eine sichere Sitzung.“ – Julian Totzek-Hallhuber, Solution Architect bei Veracode.
2. Output verschlüsseln. Nutzerabfragen müssen relevant und – noch viel wichtiger – nicht schädlich sein. Eine besondere Rolle spielen hier Sonderzeichen, wie Fragezeichen, spitze Klammern und das kaufmännische „Und“, die häufig verwendet werden. Diese sollten sofern anwendbar immer in das kodierte Äquivalent gewandelt werden.
3. Nutzern erlauben, Client-seitige Skripts zu deaktivieren. Sofern die Web-Anwendung Client-seitige Skripts verwendet, sollten Anwender die Möglichkeit haben, diese komplett auszuschalten. Dies garantiert sowohl für den Nutzer als auch für das Unternehmen eine sichere Sitzung.“ – Julian Totzek-Hallhuber, Solution Architect bei Veracode.
