CWE ID: 82
Name: Improper Neutralization of Script in Attributes of IMG Tags in a Web Page
Die Webanwendung neutralisiert Skripting-Elemente innerhalb von Attributen von HTML-IMG-Tags, wie beispielsweise dem src-Attribut, nicht oder neutralisiert diese fehlerhaft.
Angreifer können XSS-Exploits in die Werte von IMG-Attributen (z.B. SRC) einbetten, die dann gestreamt und im Browser eines Opfers ausgeführt werden. Es ist zu beachten, dass der Exploit automatisch ausgeführt wird, sobald die Seite in den Browsern eines Benutzers geladen wird.
Effektivität: Defense in Depth
Beschreibung: Um XSS-Angriffe gegen den Session-Cookie des Benutzers zu minimieren, sollte der Session-Cookie als HttpOnly gekennzeichnet werden. In Browsern, die die HttpOnly-Funktion unterstützen (wie beispielsweise neuere Versionen von Internet Explorer und Firefox), verhindert dieses Attribut, dass der Session-Cookie von bösartigen Client-seitigen Scripts, die document.cookie verwenden, zugänglich ist. Dies ist jedoch keine vollständige Lösung, da HttpOnly nicht von allen Browsern unterstützt wird. Noch wichtiger ist, dass XMLHTTPRequest und andere leistungsstarke Browser-Technologien Lesezugriff auf HTTP-Header ermöglichen, einschließlich des Set-Cookie-Headers, in dem das HttpOnly-Flag gesetzt wird.
