Razlika med XSS in CSRF

The ključna razlika med XSS in CSRF je to, v XSS (ali križnem skriptanju) spletno mesto sprejema zlonamerno kodo, medtem ko je v CSRF (ali križanju zahtevkov za križanje spletnih mest) zlonamerna koda shranjena na spletnih mestih tretjih oseb. XSS je vrsta ranljivosti računalniške varnosti v spletnih aplikacijah, ki napadalcem omogoča, da v spletne strani, ki si jih ogledajo drugi uporabniki, vbrizgajo skripte na strani odjemalca. Po drugi strani je CSRF vrsta zlonamerne dejavnosti hekerja ali spletnega mesta, ki prenaša nepooblaščene ukaze, ki jih bo spletna aplikacija uporabnika zaupala.

Razvoj spletnih strani je postopek programiranja spletnega mesta glede na zahteve stranke. Vsaka organizacija vzdržuje spletna mesta. Ta spletna mesta pomagajo izboljšati poslovanje in pridobiti dobiček. Hkrati lahko pride do groženj, ki vplivajo na funkcionalnost spletnega mesta. Dva od njih sta XSS in CSRF.

VSEBINA

1. Pregled in ključne razlike
2. Kaj je XSS
3. Kaj je CSRF
4. Primerjava ob strani - XSS proti CSRF v tabeli
5. Povzetek

Kaj je XSS?

XSS je napad z vbrizgavanjem kode, ki v spletno mesto vbrizga zlonamerno kodo. Gre za enega najpogostejših napadov na spletna mesta. Lahko vpliva na spletno mesto in lahko vpliva tudi na uporabnike tega spletnega mesta. Z drugimi besedami, kadar pride do napada XSS na spletnem mestu, bo ta koda v uporabnikih tega spletnega mesta izvedla brskalnik.

Slika 01: XSS Attack

Eden od pogostih jezikov za pisanje zlonamerne kode za XSS je JavaScript. XSS lahko ukrade piškotke uporabnika. Spletno stran lahko spremeni tako, da izgleda in se obnaša drugače. Poleg tega lahko prikaže nalaganje zlonamerne programske opreme in spremeni uporabnikove nastavitve.

Obstajata dve vrsti napadov XSS. Imenujejo jih vztrajni in nestalni. V vztrajen napad XSS, zlonamerna koda se shrani v zbirko podatkov spletnega mesta. Uporabnik lahko do njega dostopa brez vednosti. The nepretrgan napad XSS se tudi imenuje Odseven XSS. Zlonamerni skript pošlje kot zahtevo HTTP. To sta glavni dve vrsti v XSS.

Kaj je CSRF?

Na spletnem mestu sta stranki in strežniku. Spletne strani, obrazci so na strani stranke. Strani strežnika izvedejo dejanje, ko uporabnik deluje. Stranka prejema zahteve tudi z drugih spletnih strani.

Napad CSRF napeljuje uporabnika k interakciji s stranjo ali skriptom na spletnem mestu tretjih oseb. Na spletnem mestu uporabnika bo ustvaril zlonamerno zahtevo. Toda strežnik predpostavlja, da gre za zahtevo pooblaščenega spletnega mesta. Ko uporabnik to sprejme, napadalec lahko prevzame nadzor nad uporabo podatkov, poslanih v zahtevi.

En primer je naslednji. Uporabnik se prijavi na svoj bančni račun. Banka mu zagotovi žeton seje. Heker lahko uporabnika zvabi, da klikne ponarejeno povezavo, ki kaže na banko. Ko uporabnik klikne na povezavo, uporabi prejšnji žeton seje. Nato se zahteva hekerja izvrši, uporabniški račun pa je vklenjen. Z računa lahko nakaže denar. Zahteva banki je ponarejena, saj uporablja isti žeton seje uporabnika. Na splošno je pomembno vedeti, kako zaščititi spletno mesto pred napadi CSRF v spletnem razvoju.

Kakšna je razlika med XSS in CSRF?

XSS pomeni križanje skrivnih strani, CSRF pa križanje ponarejanja zahtevkov. XSS je vrsta ranljivosti računalniške varnosti v spletnih aplikacijah, ki napadalcem omogoča vstavljanje skriptov na strani odjemalca na spletne strani, ki si jih ogledajo drugi uporabniki. CSRF je vrsta zlonamerne dejavnosti hekerja ali spletnega mesta, ki prenaša nepooblaščene ukaze, ki jih bo spletna aplikacija uporabnika zaupala. Poleg tega XSS zahteva, da JavaScript napiše zlonamerno kodo, medtem ko CSRF ne zahteva JavaScript.

Poleg tega v XSS spletno mesto sprejema zlonamerno kodo, medtem ko je v CSRF zlonamerna koda shranjena na spletnih mestih tretjih oseb. To je glavna razlika med XSS in CSRF. Običajno je mesto, ki je ranljivo za napad XSS, ranljivo tudi za napad CSRF. Vendar je spletno mesto z zaščito pred XSS še vedno lahko ranljivo za napade CSRF.

Povzetek - XSS proti CSRF

XSS in CSRF sta dve vrsti napadov na spletno mesto. XSS pomeni skript za križanje spletnih strani, medtem ko CSRF pomeni ponarejanje zahtevkov za križna mesta. Razlika med XSS in CSRF je, da v XSS spletno mesto sprejme zlonamerno kodo, medtem ko je v CSRF zlonamerna koda shranjena na spletnih mestih tretjih oseb.

Referenca:

1.DrapsTV. XSS Tutorial # 2 - Neobstojni skripti (odseven XSS), DrapsTV, 23. januarja 2015. Na voljo tukaj  
2. Kaj je CSRF ?, Hacksplaining, 4. marec 2017. Na voljo tukaj 
3.DrapsTV. XSS Tutorial # 3 - Obstojni skripti, DrapsTV, 26. januarja 2015. Na voljo tukaj
4.DrapsTV. XSS Tutorial # 1 - Kaj je skriptno skripta ?, DrapsTV, 22. januarja 2015. Na voljo tukaj  

Vljudnost slik:

1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) prek Flickr