Vad är XSS (Cross-Site Scripting)?

Cross-Site Scripting, eller XSS, är en säkerhetsbrist på webbplatser som låter angripare lägga till skadliga skript på webbsidor. Oftast är dessa skript skrivna i JavaScript.

Om någon besöker en sida som påverkas av XSS, kör deras webbläsare angriparens skript. Detta kan resultera i stulna cookies, kapade sessioner eller åtgärder som vidtas utan användarens tillstånd.

XSS, precis som SQL Injection, listas regelbundet i OWASP Top 10 som en av de vanligaste sårbarheterna i webbapplikationer.

Hur fungerar XSS?

XSS riktar sig ofta mot webbapplikationer som inte korrekt kontrollerar och rengör användarinmatning.

Till exempel, om en kommentarsruta tillåter rå HTML eller JavaScript utan någon filtrering, kan en angripare lägga till kod som denna:

<script>alert('Hacked!');</script>

När offer ser sidan, körs den skadliga koden i deras webbläsare.

Varför XSS är viktigt inom cybersäkerhet

XSS kan leda till ett större intrång :

• Kontokapning (stjäla sessionscookies för att imitera användare)
• Datastöld (fånga formulärinmatningar som lösenord eller kreditkort)
• Phishing-attacker (injicera falska inloggningsformulär)
• Malware-leverans (omdirigera användare till skadliga webbplatser)

Typer av XSS

1. DOM-baserad XSS
2. Attacken sker helt i webbläsaren genom att manipulera Document Object Model (DOM) utan att involvera servern.
3. Lagrad XSS
4. Skadlig skript lagras permanent på servern, såsom i databasen, profilsidan.
5. Reflekterad XSS
6. Skript reflekteras från en webbserver (t.ex. i URL eller felmeddelande), skriptet kommer att köras när offret klickar på en manipulerad länk av angripare.

Hur man förhindrar XSS

• Inmatningssanering & utgångskodning: alltid rengöra användarinmatningsdata innan bearbetning, omvandla användarinmatning till ett säkert format
• Använd Content Security Policy (CSP): begränsar vilka skript som kan köras i webbläsaren.
• Undvik eval() och inline JavaScript: för att minska injektionsrisker.
• Säkerhetstestning (DAST/IAST): kör säkerhetstestning för att upptäcka sårbarheter tidigt

Exempel i verkliga fall - Samy worm (MySpace, 2005)

Vad hände: Samy Kamkar publicerade en MySpace-profil som innehöll en lagrad XSS-payload. När andra användare visade profilen, kördes payloaden i deras webbläsare, den (a) lade till Samy som vän, (b) lade till frasen “Samy är min hjälte” till deras profiler, och (c) replikerade sig själv till dessa användares profilsidor.

Påverkan: Masken spred sig själv till ~1 miljon användare inom ~20 timmar, vilket tvingade MySpace att tillfälligt gå offline.

Varför det fungerade: MySpace tillät oescapead HTML/attribut i profilfält, vilket möjliggjorde lagrad skriptexekvering i besökarnas webbläsare.

Lärdomar / åtgärd: Korrekt utdata-kodning, insatssanering, borttagning av HTML i profilfält och snabb patchning. Samy mötte senare rättsliga konsekvenser, och MySpace implementerade filter.

Relaterade termer

• SQL-injektion
• DAST (Dynamic Application Security Testing)
• OWASP Topp 10
• CSRF (Cross-Site Request Forgery)