Galvenā atšķirība starp XSS un CSRF ir tāda, ka XSS (vai Cross Site Scripting) vietnē vietne pieņem ļaunprātīgo kodu, savukārt CSRF (vai Cross Site Request Forgery) ļaunprātīgais kods tiek glabāts trešajā kodā. ballīšu vietnes. XSS ir sava veida datora drošības ievainojamība tīmekļa lietojumprogrammās, kas ļauj uzbrucējiem ievadīt klienta puses skriptus tīmekļa lapās, kuras skatās citi lietotāji. No otras puses, CSRF ir hakera vai vietnes ļaunprātīgas darbības veids, kas pārraida nesankcionētas komandas, kurām lietotāja tīmekļa lietojumprogramma uzticēsies.
Tīmekļa izstrāde ir tīmekļa vietnes programmēšanas process atbilstoši klienta prasībām. Katra organizācija uztur tīmekļa vietnes. Šīs vietnes palīdz uzlabot biznesu un gūt peļņu. Tajā pašā laikā var rasties draudi, kas ietekmē vietnes funkcionalitāti. Divi no tiem ir XSS un CSRF.
Kas ir XSS?
XSS ir koda ievadīšanas uzbrukums, kas vietnē ievada ļaunprātīgu kodu. Tas ir viens no visizplatītākajiem vietņu uzbrukumiem. Tas var ietekmēt vietni un var ietekmēt arī šīs vietnes lietotājus. Citiem vārdiem sakot, ja vietnei tiek veikts XSS uzbrukums, pārlūkprogramma šīs vietnes lietotājiem izpildīs šo kodu.
Attēls 01: XSS Attack
Viena izplatīta valoda, lai rakstītu ļaunprātīgu kodu XSS, ir JavaScript. XSS var nozagt lietotāja sīkfailus. Tas var mainīt tīmekļa lapu, lai tā izskatītos un darbotos savādāk. Turklāt tas var parādīt ļaunprātīgas programmatūras lejupielādes un mainīt lietotāja iestatījumus.
Ir divu veidu XSS uzbrukumi. Tos sauc par noturīgiem un nenoturīgiem. Pastāvīgā XSS uzbrukumā ļaunprātīgais kods tiek saglabāts vietnes datu bāzē. Lietotājs var tai piekļūt bez jebkādām zināšanām. Nenoturīgo XSS uzbrukumu sauc arī par Reflected XSS. Tas nosūta ļaunprātīgo skriptu kā HTTP pieprasījumu. Tie ir divi galvenie XSS veidi.
Kas ir CSRF?
Vietnē ir klienta puse un servera puse. Tīmekļa lapas, veidlapas atrodas klienta pusē. Servera puse veic darbību, kad lietotājs rīkojas. Servera puse saņem pieprasījumus arī no citām vietnēm.
CSRF uzbrukums liek lietotājam mijiedarboties ar lapu vai skriptu trešās puses vietnē. Tas ģenerēs ļaunprātīgu pieprasījumu lietotāja vietnei. Bet serveris pieņem, ka tas ir pieprasījums no autorizētas vietnes. Kad lietotājs to pieņem, uzbrucējs var pārņemt kontroli, izmantojot pieprasījumā nosūtītos datus.
Viens piemērs ir šāds. Lietotājs piesakās savā bankas kontā. Banka viņam nodrošina sesijas marķieri. Hakeris var piemānīt lietotāju, lai noklikšķinātu uz viltotas saites, kas norāda uz banku. Kad lietotājs noklikšķina uz saites, tas izmanto iepriekšējās sesijas pilnvaru. Pēc tam tiek izpildīts hakera pieprasījums, un lietotāja konts tiek uzlauzts. Viņš var pārskaitīt naudu no sava konta. Pieprasījums bankai ir viltots, jo tā izmanto to pašu lietotāja sesijas marķieri. Kopumā ir svarīgi zināt, kā tīmekļa izstrādē aizsargāt vietni no CSRF uzbrukumiem.
Kāda ir atšķirība starp XSS un CSRF?
XSS apzīmē Cross Site Scripting, un CSRF apzīmē Cross Site Request Forgery. XSS ir sava veida datora drošības ievainojamība tīmekļa lietojumprogrammās, kas ļauj uzbrucējiem ievadīt klienta puses skriptus tīmekļa lapās, ko skatās citi lietotāji. CSRF ir hakeru vai vietnes ļaunprātīgas darbības veids, kas pārraida nesankcionētas komandas, kurām lietotāja tīmekļa lietojumprogramma uzticēsies. Turklāt XSS ir nepieciešams JavaScript, lai rakstītu ļaunprātīgu kodu, savukārt CSRF neprasa JavaScript.
Turklāt XSS vietnē vietne pieņem ļaunprātīgo kodu, savukārt CSRF ļaunprātīgais kods tiek glabāts trešo pušu vietnēs. Šī ir galvenā atšķirība starp XSS un CSRF. Parasti vietne, kas ir neaizsargāta pret XSS uzbrukumu, ir neaizsargāta arī pret CSRF uzbrukumu. Tomēr vietne, kurai ir aizsardzība pret XSS, joprojām var būt neaizsargāta pret CSRF uzbrukumiem.
Kopsavilkums - XSS pret CSRF
XSS un CSRF ir divu veidu uzbrukumi vietnei. XSS apzīmē Cross Site Scripting, savukārt CSRF apzīmē Cross Site Request Forgery. Atšķirība starp XSS un CSRF ir tāda, ka pakalpojumā XSS vietne pieņem ļaunprātīgo kodu, savukārt CSRF gadījumā ļaunprātīgais kods tiek glabāts trešo pušu vietnēs.
