Das XSS ist ein Angriff auf Client-Rechner (z.B. den privaten Rechner eines Surfers) der unter Beteiligung eines vorsätzlich manipulierten Links eines Angreifers und eines fahrlässig "falsch" konfigurierten CGI-Skripts auf dem Web-Server eines unwissenden Dritten zum Ausspähen von Cookies führt.

Beim XSS klickt der User zunächst den manipulierten Link (den er z.B. durch eine eMail erhalten hat). Dadurch wird dem CGI-Skript auf der Seite des Dritten ein mit Javascript präpariertes Datenpaket übergeben. Das falsch konfigurierte CGI-Skript verabeitet die übergebenen Daten und gibt sie anschließend ungefiltert, d.h. gemeinsam mit dem Javascript auf einer Antwortseite wieder aus.

Beispiel: Die Suchmaschine Overture akzeptiert Daten in der URL die sie als Grundlage zur Suche verwendet. Am Ende der Suche gibt sie das Suchergebnis und die Suchdaten (inkl. javaskript) wieder aus.

Handelt es sich bei diesem Server um den Server einer dem User bekannten Web-Site, so vertraut er dem Javascript-Code, obwohl dieser von einem Angreifer kommt. Auf Basis dieses Vertrauens kann das Javaskript dann persönliche Daten (z.b. Passwörter) abfragen.

Weiterhin kann der fremde Code beim User Cookies auslesen, die grundsätzlich nur die absendende Web-Site, hier die mit dem Fehler in der CGI-Konfiguration, wieder abrufen kann. Enthalten diese Cookies Account-Daten, wie z.B. Username und Passwort, kann das Javascript versuchen diese wiederum an den manipulierenden Server zurücksenden, wo sie dann als Grundlage für weiteren Mißbrauch dienen können.

Kommen dann noch Sicherheitslücken im Browser des Users dazu, wie z.B. eine Fehler im IE der es erlaubt das Javascript-Code Änderungen in fremden Frames vornehmen kann (= Cross Frame Scripting), oder ein Fehler der einen Zugriff lokale Dateien des Users ermöglicht, so kann ein XSS-Angriff zu einer erheblichen Gefahr für den User werden.

Zu der Frage von Löchern im IE siehe unter Heise Security.