Kluczowa różnica: XSS i CSRF to dwa rodzaje luk w zabezpieczeniach komputera. XSS oznacza Cross-Site Scripting. CSRF oznacza Cross For Site Forgery. W XSS haker wykorzystuje zaufanie, jakim dysponuje użytkownik dla określonej witryny. Z drugiej strony, w CSRF haker korzysta z zaufania strony internetowej dla przeglądarki określonego użytkownika.
XSS oznacza Cross-Site Scripting. Cross Site Scripting to exploit bezpieczeństwa, w którym złośliwy haker wstawia skrypty w dynamiczną formę. Jest on obecnie uważany za najczęstszą lukę w zabezpieczeniach, którą można znaleźć na stronach internetowych. W XSS haker wstrzykuje złośliwy skrypt po stronie klienta na stronę internetową. Ten skrypt został dodany, aby spowodować ofiarę w postaci pewnej luki.
Atakujący lub hakerzy używają w tym celu JavaScript, VBScript, ActiveX, HTML lub Flash. Gdy atak się powiedzie, haker może wyrządzić krzywdę na wiele sposobów. Na przykład osoba atakująca może przejąć kontrolę nad kontem, a nawet zmienić ustawienia użytkownika. Typowy przykład XSS można zobaczyć, gdy szkodliwy link jest używany do tego celu. Zostanie utworzone łącze zawierające ukryty złośliwy kod, a użytkownik zostanie poproszony o jego kliknięcie. Jeśli użytkownik kliknie, złośliwy kod zostanie wykonany w przeglądarce klienta.
Ataki typu cross-site scripting można ogólnie podzielić na dwa typy -
- Trwałe - w tym typie luki, złośliwe dane są przechowywane na stałe w bazie danych, a później są dostępne i prowadzone przez ofiary bez znajomości tego.
- Nietrwały - w tym typie luki dane dostarczone przez złośliwego hakera są używane w tym konkretnym przypadku bez żadnych opóźnień.
CSRF oznacza Cross For Site Forgery. Jest również znany jako atak za jednym kliknięciem lub sesja. Korzysta z zaufania docelowej witryny dla użytkownika. Szkodliwy atak został zaprojektowany w taki sposób, że użytkownik wysyła złośliwe żądania do docelowej witryny bez wiedzy o ataku. Wiele czynności może wykonać osoba atakująca wykorzystująca CSRF, na przykład niektóre treści mogą być publikowane na tablicy ogłoszeń, zasoby mogą być przedmiotem handlu, a nawet e-kartka może zostać wysłana pocztą. Jednym z najczęstszych sposobów przeprowadzenia ataku CSRF jest użycie znacznika obrazu HTML lub obiektu obrazu JavaScript.
Ta luka nie ogranicza się tylko do przeglądarek. Złośliwe skryptowanie można również wykonać za pomocą dokumentu tekstowego, pliku Flash, filmu itd. Niektóre z ważnych funkcji CSRF obejmują:
- Rejestracja ofiary nie jest obowiązkowa, ponieważ zależy od intencji atakującego.
- Osoba atakująca może wygenerować wiele żądań do witryny docelowej.
- Działa bardzo dobrze z innymi rodzajami ataków.
- Zasadniczo dane z zaatakowanej strony nie mogą zostać odczytane przez atakującego, co stanowi ograniczenie dla CSRF.
Porównanie XSS i CSRF:
XSS | CSRF | |
Pełna forma | Cross-Site Scripting | Zgłoszenie prośby między serwisami |
Definicja | W XSS haker wstrzykuje złośliwy skrypt po stronie klienta na stronie internetowej. Ten skrypt został dodany, aby spowodować ofiarę w postaci pewnej luki. | Korzysta z zaufania docelowej witryny do użytkownika. Szkodliwy atak jest zaprojektowany w taki sposób, że użytkownik wysyła złośliwe żądania do docelowej witryny bez wiedzy o ataku. |
Zależność | Wstrzykiwanie arbitralnych danych przez dane, które nie zostały zatwierdzone | Na temat funkcji i funkcji przeglądarki, aby pobrać i wykonać pakiet ataków |
Wymaganie JavaScript | tak | Nie |
Stan | Akceptacja złośliwego kodu przez strony | Złośliwy kod znajduje się na stronach osób trzecich |
Wrażliwość | Strona narażona na ataki XSS jest również podatna na ataki CSRF | Strona, która jest całkowicie chroniona przed atakami typu XSS, jest najprawdopodobniej podatna na ataki CSRF. |
