Vad är XSS (Cross-Site Scripting)?

Cross-Site Scripting, eller XSS, är en säkerhetsbrist på webbplatser som låter angripare lägga till skadliga skript på webbsidor. Oftast är dessa skript skrivna i JavaScript.

Om någon besöker en sida som påverkas av XSS, kör deras webbläsare angriparens skript. Detta kan resultera i stulna cookies, kapade sessioner eller åtgärder som utförs utan användarens tillåtelse.

XSS, precis som SQL Injection, listas regelbundet i OWASP Top 10 som en av de vanligaste sårbarheterna i webbapplikationer.

Hur fungerar XSS?

XSS riktar sig ofta mot webbapplikationer som inte korrekt kontrollerar och rensar användarinmatning.

Till exempel, om en kommentarsruta tillåter rå HTML eller JavaScript utan någon filtrering, kan en angripare lägga till kod som denna:

<script>alert('Hacked!');</script>

När offer ser sidan, körs den skadliga koden i deras webbläsare.

Varför XSS är viktigt inom cybersäkerhet

XSS kan leda till ett större intrång:

• Kontokapning (stjäla sessionskakor för att imitera användare)
• Datastöld (fånga formulärinmatningar som lösenord eller kreditkort)
• Phishingattacker (injicera falska inloggningsformulär)
• Malwareleverans (omdirigera användare till skadliga webbplatser)

Typer av XSS

1. DOM-baserad XSS
2. Attacken sker helt i webbläsaren genom att manipulera Document Object Model (DOM) utan att involvera servern.
3. Lagrad XSS
4. Skadligt skript lagras permanent på servern, såsom i databasen eller på profilsidan.
5. Reflekterad XSS
6. Skript reflekteras från en webbserver (t.ex. i URL eller felmeddelande), skriptet kommer att köras när offret klickar på en länk skapad av angripare.

Hur man förhindrar XSS

• Inmatningssanering & utdataenkodning: alltid rengöra användarinmatningsdata innan bearbetning, omvandla användarinmatning till ett säkert format
• Använd Content Security Policy (CSP): begränsar vilka skript som kan köras i webbläsaren.
• Undvik eval() och inline JavaScript: för att minska injektionsrisker.
• Säkerhetstestning (DAST/IAST): kör säkerhetstestning för att upptäcka sårbarheter tidigt

Exempel i verkliga fall - Samy worm (MySpace, 2005)

Vad som hände: Samy Kamkar publicerade en MySpace-profil som innehöll en lagrad XSS-payload. När andra användare tittade på profilen kördes payloaden i deras webbläsare, den (a) lade till Samy som vän, (b) lade till frasen “Samy är min hjälte” till deras profiler, och (c) replikerade sig själv till dessa användares profilsidor.

Påverkan: Masken spred sig själv till ~1 miljon användare inom ~20 timmar, vilket tvingade MySpace att tillfälligt gå offline.

Varför det fungerade: MySpace tillät oescapead HTML/attribut i profilfält, vilket möjliggjorde lagrad skriptexekvering i besökarnas webbläsare.

Lektioner / åtgärd: Korrekt utdataenkodning, insatskontroll, borttagning av HTML i profilfält och snabb patchning. Samy ställdes senare inför rättsliga konsekvenser, och MySpace implementerade filter.

Relaterade termer

• SQL Injection
• DAST (Dynamisk applikationssäkerhetstestning)
• OWASP Topp 10
• CSRF (Cross-Site Request Forgery)