Разлика между XSS и CSRF

Най- ключова разлика между XSS и CSRF е това, в XSS (или Cross Site Scripting) сайтът приема зловредния код, докато в CSRF (или Cross Site Request Forgery) злонамереният код се съхранява в сайтовете на трети страни. XSS е вид уязвимост на компютърната сигурност в уеб приложенията, която позволява на атакуващите да инжектират скриптове от страна на клиента в уеб страници, гледани от други потребители. От друга страна, CSRF е вид злонамерена дейност на хакер или уебсайт, който предава неоторизирани команди, на които уеб приложението на потребителя ще се доверява.

Уеб разработката е процес на програмиране на уебсайт според изискванията на клиента. Всяка организация поддържа уебсайтове. Тези уебсайтове помагат за подобряване на бизнеса и за печалба. В същото време може да има заплахи, които засягат функционалността на уебсайта. Два от тях са XSS и CSRF.

СЪДЪРЖАНИЕ

1. Преглед и ключова разлика
2. Какво е XSS
3. Какво е CSRF
4. Паралелно сравнение - XSS срещу CSRF в таблична форма
5. Обобщение

Какво е XSS?

XSS е атака с инжектиране на код, която инжектира злонамерен код в уебсайта. Това е една от най-честите атаки на уеб сайт. Това може да засегне уебсайта и може да засегне и потребителите на този уебсайт. С други думи, когато има XSS атака на уебсайта, този код ще се изпълни от потребителите на този уебсайт от браузъра.

Фигура 01: Атака на XSS

Един общ език за писане на злонамерен код за XSS е JavaScript. XSS може да открадне бисквитките на потребителя. Той може да променя уеб страницата така, че да изглежда и да се държи по различен начин. Освен това той може да показва изтегляния на зловреден софтуер и да променя настройките на потребителя.

Има два типа XSS атаки. Те се наричат ​​постоянни и непостоянни. в упорита XSS атака, злонамереният код се съхранява в базата данни на уебсайта. Потребителят може да получи достъп до него без никакво знание. Най- непостоянна атака на XSS също се нарича Отразена XSS. Той изпраща злонамерения скрипт като HTTP заявка. Това са основните два типа в XSS.

Какво е CSRF?

В уебсайт има страна на клиента и страна на сървъра. Уеб страниците, формулярите са от страна на клиента. Сървърната страна извършва действие, когато потребителят действа. От страна на сървъра се получават заявки и от други уебсайтове.

CSRF атака измамва потребителя да взаимодейства със страница или скрипт на сайт на трета страна. Той ще генерира злонамерена заявка към сайта на потребителя. Но сървърът приема, че това е заявка от упълномощен уебсайт. Когато потребителят го приеме, атакуващият може да поеме контрола върху използването на данните, изпратени в заявката.

Един пример е следният. Потребител влиза в своята банкова сметка. Банката му предоставя знак за сесия. Хакер може да измами потребителя да кликне върху фалшива връзка, която сочи към банката. Когато потребителят кликне върху връзката, той използва маркера на предишната сесия. След това заявката на хакера се изпълнява и потребителският акаунт е хакнат. Той може да превежда пари от сметката си. Искането до банката е фалшифицирано, тъй като използва същия маркер за сесия на потребителя. Като цяло е важно да знаете как да защитите уебсайта от CSRF атака в уеб разработката.

Каква е разликата между XSS и CSRF?

XSS означава Cross Cross Scripting, а CSRF означава Cross Site Request Forgery. XSS е вид уязвимост на компютърната сигурност в уеб приложенията, която позволява на нападателите да инжектират скриптове от страна на клиента в уеб страници, гледани от други потребители. CSRF е вид злонамерена дейност на хакер или уебсайт, който предава непозволени команди, на които уеб приложението на потребителя ще се доверява. Също така, XSS изисква JavaScript да напише злонамерения код, докато CSRF не изисква JavaScript.

Освен това, в XSS сайтът приема зловредния код, докато в CSRF, злонамереният код се съхранява в сайтовете на трети страни. Това е основната разлика между XSS и CSRF. Обикновено сайт, който е уязвим за XSS атака, също е уязвим за CSRF атаката. Въпреки това сайт, който има защита от XSS, все още може да бъде уязвим за CSRF атаки.

Обобщение - XSS срещу CSRF

XSS и CSRF са два типа атаки към уебсайт. XSS означава Cross Cross Scripting, докато CSRF означава Cross Cross Request Forgery. Разликата между XSS и CSRF е, че в XSS сайтът приема зловредния код, докато в CSRF злонамереният код се съхранява в сайтовете на трети страни.

справка:

1.DrapsTV. XSS Урок №2 - Неустойчиви скриптове (отразени XSS), DrapsTV, 23 януари 2015 г. Достъпно тук  
2.Какво е CSRF ?, Hacksplaining, 4 март 2017. Достъпно тук 
3.DrapsTV. XSS Урок # 3 - Устойчиви скриптове, DrapsTV, 26 януари 2015 г. Достъпно тук
4.DrapsTV. XSS Урок №1 - Какво е скрипт на кръстосани сайтове ?, DrapsTV, 22 януари 2015 г. Достъпно тук  

С любезност на изображенията:

1.'26393980275 'b Кристиан Колен (CC BY-SA 2.0) чрез Flickr