A legfontosabb különbség az XSS és a CSRF között az, hogy az XSS-ben (vagy Cross Site Scriptingben) a webhely elfogadja a rosszindulatú kódot, míg a CSRF-ben (vagy Cross Site Request Forgery-ben) a rosszindulatú kód a harmadik helyen tárolódik. partioldalak. Az XSS a webalkalmazások számítógépes biztonsági résének egy fajtája, amely lehetővé teszi a támadók számára, hogy kliensoldali szkripteket fecskendezzenek be a többi felhasználó által megtekintett weboldalakba. Másrészt a CSRF egy hacker vagy egy webhely rosszindulatú tevékenysége, amely olyan jogosulatlan parancsokat ad át, amelyekben a felhasználó webalkalmazása megbízik.
A webfejlesztés egy weboldal programozásának folyamata az ügyfél igényei szerint. Minden szervezet fenntart webold alt. Ezek a weboldalak segítenek az üzlet fejlesztésében és a nyereség elérésében. Ugyanakkor előfordulhatnak olyan fenyegetések, amelyek befolyásolják a webhely működését. Ezek közül kettő XSS és CSRF.
Mi az XSS?
Az XSS egy kódbefecskendező támadás, amely rosszindulatú kódot juttat be a webhelyre. Ez az egyik leggyakoribb webhely-támadás. Ez hatással lehet a webhelyre, és hatással lehet a webhely felhasználóira is. Más szóval, ha XSS-támadás éri a webhelyet, akkor a böngésző lefutja a kódot a webhely felhasználóiban.
01. ábra: XSS Attack
Az egyik gyakori nyelv az XSS-hez rosszindulatú kódok írásához a JavaScript. Az XSS ellophatja a felhasználói cookie-kat. Módosíthatja a webold alt, hogy másképp nézzen ki és viselkedjen. Ezenkívül képes megjeleníteni a rosszindulatú programok letöltéseit, és módosítani tudja a felhasználó beállításait.
Kétféle XSS-támadás létezik. Kitartónak és nem tartósnak nevezik. Tartós XSS támadás esetén a rosszindulatú kód a webhely adatbázisában tárolódik. A felhasználó minden tudás nélkül hozzáférhet. A nem állandó XSS-támadást Reflected XSS-nek is nevezik. A rosszindulatú szkriptet HTTP-kérésként küldi el. Ez a két fő típus az XSS-ben.
Mi az a CSRF?
Egy webhelyen van egy kliens és egy szerver oldal. A weblapok, űrlapok a kliens oldalon vannak. A szerveroldal egy műveletet hajt végre, amikor a felhasználó cselekszik. A szerveroldal más webhelyekről is kap kéréseket.
A CSRF támadás megtéveszti a felhasználót, hogy interakcióba lépjen egy harmadik fél webhelyén található oldallal vagy szkripttel. Ez rosszindulatú kérést generál a felhasználó webhelyére. A szerver azonban azt feltételezi, hogy ez egy feljogosított webhely kérése. Amikor a felhasználó elfogadja, a támadó átveheti az irányítást a kérésben küldött adatok segítségével.
Egy példa a következő. A felhasználó bejelentkezik a bankszámlájára. A bank egy session tokent biztosít neki. A hacker ráveheti a felhasználót, hogy rákattintson egy hamis linkre, amely a bankra mutat. Amikor a felhasználó rákattint a hivatkozásra, az előző munkamenet tokent használja. Ezután a hacker kérése végrehajtódik, és a felhasználói fiókot feltörik. Pénzt utalhat a számlájáról. A bankhoz intézett kérés hamisított, mivel a felhasználó ugyanazt a munkamenet-tokenjét használja. Összességében fontos tudni, hogyan védhetjük meg a webhelyet a CSRF-támadásokkal szemben a webfejlesztés során.
Mi a különbség az XSS és a CSRF között?
Az XSS a Cross Site Scripting, a CSRF pedig a Cross Site Request Forgery rövidítése. Az XSS a webalkalmazások számítógépes biztonsági résének egy fajtája, amely lehetővé teszi a támadók számára, hogy kliensoldali szkripteket fecskendezzenek be a többi felhasználó által megtekintett weboldalakba. A CSRF egy hacker vagy egy webhely rosszindulatú tevékenysége, amely olyan jogosulatlan parancsokat továbbít, amelyekben a felhasználó webalkalmazása megbízik. Ezenkívül az XSS-nek JavaScriptre van szüksége a rosszindulatú kód írásához, míg a CSRF-hez nem szükséges a JavaScript.
Továbbá az XSS-ben a webhely elfogadja a rosszindulatú kódot, míg a CSRF-ben a rosszindulatú kódot a harmadik fél webhelyein tárolja. Ez a fő különbség az XSS és a CSRF között. Általában egy XSS-támadásnak kitett webhely a CSRF-támadással szemben is sebezhető. Az XSS elleni védelemmel rendelkező webhely azonban továbbra is sebezhető lehet a CSRF-támadásokkal szemben.
Összefoglaló – XSS vs CSRF
Az XSS és CSRF a webhelyek elleni támadások két típusa. Az XSS a Cross Site Scripting, míg a CSRF a Cross Site Request Forgery rövidítése. Az XSS és a CSRF közötti különbség az, hogy az XSS-ben a webhely elfogadja a rosszindulatú kódot, míg a CSRF-ben a rosszindulatú kódot a harmadik fél webhelyein tárolják.
