Betreiber-Guide

DOM-XSS und DAST sauber testen

DOM-XSS braucht dynamische Browserprüfung. SaferPage zeigt Skript-, CSP- und Drittanbieter-Signale; kritische Webapps sollten zusätzlich gezielt mit DAST oder Penetrationstest geprüft werden.

Aufgenommen aus dem internen Datenschutz-Webseiten-Report unter /var/www/saferpage.de/datenschutz-webseiten-report/.

1 Legen Sie den Test-Scope fest: Suche, Login, Registrierung, Kontaktformular, Checkout, interne Suche, Filter, Client-Routing und alle Parameter mit URL-Fragmenten.

2 Führen Sie DAST in einer freigegebenen Testumgebung oder mit Wartungsfenster durch; schließen Sie destructive Payloads, Spam-Versand und echte personenbezogene Daten aus.

3 Prüfen Sie gefährliche DOM-Sinks wie innerHTML, document.write, eval, setTimeout mit Strings, postMessage-Handler, unsichere Template-Injection und Client-Side-Redirects.

4 Setzen oder verschärfen Sie CSP zunächst im Report-Only-Modus und entfernen Sie unsichere Quellen wie unsafe-inline, unsafe-eval, Wildcards und fremde Skriptketten.

5 Patchen Sie betroffene Frameworks, Themes, Plugins und eigene Komponenten; ergänzen Sie Output-Encoding, sichere DOM-APIs und serverseitige Validierung.

6 Dokumentieren Sie für jeden hohen oder kritischen Befund Ticket, Owner, Fix, Re-Test und Restrisikoentscheidung.

7 Nach Fix: SaferPage-Sicherheitsprofil, Extern-Prüfplan und internen DAST-/Pentest-Nachweis gemeinsam ablegen.

Betreiber-Plan

So wird der Befund prüfbar behoben

hoch

DAST & DOM-XSSBereich IT/Security/WebentwicklungOwner hochAufwand Re-ScanDAST-/Pentest-Re-Test und SaferPage-Skript-/CSP-/Header-Signale nach Fix vergleichen.

Befund reproduzieren IT/Security/Webentwicklung

SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.

Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.

Re-Scan starten

Ursache beheben IT/Security/Webentwicklung

Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.

Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe.

Re-Scan starten

Nutzertext aktualisieren Datenschutz/Content

Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.

Versionierter Text, Änderungsdatum, Verantwortlicher.

Re-Scan starten

Re-Test und Abschluss Compliance/IT

DAST-/Pentest-Re-Test und SaferPage-Skript-/CSP-/Header-Signale nach Fix vergleichen.

DAST-Report, Ticketliste, CSP-Report-Only-Auswertung, Fix- und Re-Test-Nachweis.

Re-Scan starten

Abnahmekriterien

PrüfenDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft. PrüfenDatenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr. PrüfenExportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.

Nachweise

ExportJSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen ExportZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen ExportTrust Documentation Library für öffentliche, sanitisierte und interne Nachweise LeitfadenDatenschutz-Webseiten-Report öffnen

Quellen

OWASP Web Security Testing Guide OWASP: DOM Based XSS Prevention OWASP Top 10 BSI IT-Grundschutz APP.3.1 Webanwendungen MDN: Content Security Policy