Różnica między XSS a CSRF
Share
The kluczowa różnica między XSS a CSRF jest to, w XSS (lub Cross Site Scripting) witryna akceptuje złośliwy kod, podczas gdy w CSRF (lub Cross Site Request Forgery) złośliwy kod jest przechowywany w witrynach stron trzecich. XSS jest rodzajem luki w zabezpieczeniach komputera w aplikacjach internetowych, która umożliwia atakującym wstrzykiwanie skryptów po stronie klienta na strony wyświetlane przez innych użytkowników. Z drugiej strony CSRF jest rodzajem złośliwej aktywności hakera lub strony internetowej, która przesyła nieautoryzowane polecenia, którym zaufa aplikacja internetowa użytkownika.
Tworzenie stron internetowych to proces programowania witryny internetowej zgodnie z wymaganiami klienta. Każda organizacja utrzymuje strony internetowe. Strony te pomagają usprawnić działalność i zwiększyć zysk. Jednocześnie mogą istnieć zagrożenia, które wpływają na funkcjonalność strony internetowej. Dwa z nich to XSS i CSRF.
ZAWARTOŚĆ
1. Przegląd i kluczowa różnica
2. Co to jest XSS
3. Co to jest CSRF
4. Porównanie obok siebie - XSS vs CSRF w formie tabelarycznej
5. Podsumowanie
Co to jest XSS?
XSS to atak polegający na wstrzykiwaniu kodu, który wstrzykuje złośliwy kod na stronę internetową. Jest to jeden z najczęstszych ataków na strony internetowe. Może to wpłynąć na stronę internetową, a także na użytkowników tej strony. Innymi słowy, gdy nastąpi atak XSS na stronę internetową, kod ten zostanie wykonany przez użytkowników tej strony przez przeglądarkę.
Rysunek 01: Atak XSS
Popularnym językiem do pisania złośliwego kodu dla XSS jest JavaScript. XSS może kraść pliki cookie użytkownika. Może modyfikować stronę internetową, aby wyglądała i działała inaczej. Ponadto może wyświetlać pobrania złośliwego oprogramowania i zmieniać ustawienia użytkownika.
Istnieją dwa rodzaje ataków XSS. Nazywa się je trwałymi i nietrwałymi. W trwały atak XSS, złośliwy kod jest przechowywany w bazie danych witryny. Użytkownik może uzyskać do niego dostęp bez wiedzy. The nietrwały atak XSS nazywany jest również Odzwierciedlenie XSS. Wysyła złośliwy skrypt jako żądanie HTTP. Są to dwa główne typy w XSS.
Co to jest CSRF?
Na stronie internetowej jest po stronie klienta i po stronie serwera. Strony internetowe, formularze są po stronie klienta. Strona serwera wykonuje akcję, gdy użytkownik działa. Strona serwera otrzymuje również żądania z innych stron internetowych.
Atak CSRF powoduje, że użytkownik wchodzi w interakcję ze stroną lub skryptem w witrynie innej firmy. Wygeneruje złośliwe żądanie do strony użytkownika. Ale serwer zakłada, że jest to żądanie z autoryzowanej strony internetowej. Gdy użytkownik je zaakceptuje, osoba atakująca może przejąć kontrolę nad wykorzystaniem danych wysłanych w żądaniu.
Jeden przykład jest następujący. Użytkownik loguje się na swoje konto bankowe. Bank zapewnia mu token sesji. Haker może oszukać użytkownika, aby kliknął fałszywy link prowadzący do banku. Gdy użytkownik kliknie łącze, używa tokena poprzedniej sesji. Następnie żądanie hakera zostaje wykonane, a konto użytkownika zostaje zhakowane. Może przesyłać pieniądze ze swojego konta. Żądanie skierowane do banku jest fałszowane, ponieważ używa tego samego tokena sesji użytkownika. Ogólnie rzecz biorąc, ważne jest, aby wiedzieć, jak chronić witrynę przed atakiem CSRF podczas tworzenia stron internetowych.
Jaka jest różnica między XSS a CSRF?
XSS oznacza Cross Site Scripting, a CSRF oznacza Cross Site Request Forgery. XSS jest rodzajem luki w zabezpieczeniach komputera w aplikacjach internetowych, która umożliwia atakującym wstrzykiwanie skryptów po stronie klienta na strony wyświetlane przez innych użytkowników. CSRF jest rodzajem złośliwej aktywności hakera lub strony internetowej, która przesyła nieautoryzowane polecenia, którym zaufa aplikacja internetowa użytkownika. Ponadto XSS wymaga JavaScript do napisania złośliwego kodu, podczas gdy CSRF nie wymaga JavaScript.
Ponadto w XSS witryna akceptuje złośliwy kod, natomiast w CSRF szkodliwy kod jest przechowywany w witrynach stron trzecich. Jest to główna różnica między XSS a CSRF. Zwykle witryna podatna na atak XSS jest również podatna na atak CSRF. Jednak witryna chroniona przed XSS nadal może być podatna na ataki CSRF.
Podsumowanie - XSS vs CSRF
XSS i CSRF to dwa rodzaje ataków na stronę internetową. XSS oznacza Cross Site Scripting, a CSRF oznacza Cross Site Request Forgery. Różnica między XSS a CSRF polega na tym, że w XSS witryna akceptuje złośliwy kod, podczas gdy w CSRF złośliwy kod jest przechowywany w witrynach stron trzecich.
Odniesienie:
1.DrapsTV. Samouczek XSS nr 2 - Skrypty nietrwałe (Reflected XSS), DrapsTV, 23 stycznia 2015 r. Dostępny tutaj
2.Co to jest CSRF ?, Hacksplaining, 4 marca 2017. Dostępny tutaj
3.DrapsTV. Samouczek XSS nr 3 - Skrypty trwałe, DrapsTV, 26 stycznia 2015 r. Dostępny tutaj
4.DrapsTV. Samouczek XSS nr 1 - Co to jest skrypt krzyżowy ?, DrapsTV, 22 stycznia 2015 r. Dostępny tutaj
Zdjęcie dzięki uprzejmości:
1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) przez Flickr
