Cross-site scripting (XSS) is een veelvoorkomende vorm van webapplicatie-aanval waarbij een kwaadwillende hacker schadelijke code injecteert in een webpagina die door anderen wordt bekeken.
Bij een XSS-aanval wordt de code ingevoegd in het invoerveld van een webpagina, zoals een zoekveld of een commentaarveld. Wanneer een gebruiker vervolgens de webpagina bezoekt en de code wordt uitgevoerd, kan dit leiden tot verschillende soorten aanvallen, zoals het stelen van sessiegegevens, het wijzigen van de inhoud van de webpagina of het uitvoeren van phishing-aanvallen.
XSS-aanvallen kunnen worden onderverdeeld in twee categorieën: opgeslagen XSS en reflected XSS. Opgeslagen XSS komt voor wanneer de schadelijke code permanent wordt opgeslagen op de server en door alle gebruikers wordt bekeken die de pagina bekijken. Reflected XSS treedt op wanneer de schadelijke code alleen tijdelijk wordt opgeslagen en door slechts één gebruiker wordt bekeken.
Om XSS-aanvallen te voorkomen, moeten web ontwikkelaars en beheerders veilige code ontwikkelen, zoals het filteren van gebruikersinvoer en het coderen van uitvoer die wordt weergegeven in webpagina’s. Gebruikers kunnen zichzelf ook beschermen door geen onbekende of verdachte links te openen, regelmatig updates voor hun webbrowser te installeren.
Dit soort testen komen terug in onze Web Application Pentest.