Különbség az XSS és a CSRF között

Az kulcs különbség az XSS és a CSRF között ez, az XSS-ben (vagy Cross Site Scripting) a webhely elfogadja a rosszindulatú kódot, míg a CSRF-ben (vagy a Cross Site Request Forgery-ben) a rosszindulatú kódot a harmadik fél webhelyein tárolja. Az XSS egy olyan számítógépes biztonsági rés a webes alkalmazásokban, amely lehetővé teszi a támadók számára, hogy ügyféloldali szkripteket adjanak be a többi felhasználó által megtekintett weboldalakra. Másrészt, a CSRF egy hacker vagy egy webhely olyan rosszindulatú tevékenysége, amely olyan jogosulatlan parancsokat továbbít, amelyekbe a felhasználó webalkalmazása megbízhat.

A webfejlesztés a weboldal programozásának folyamata az ügyfél igényei szerint. Minden szervezet fenntart weboldalakat. Ezek a webhelyek elősegítik az üzleti élet javítását és a profit megszerzését. Ugyanakkor olyan veszélyek is lehetnek, amelyek befolyásolják a weboldal funkcionalitását. Kettőjük az XSS és a CSRF.

TARTALOMJEGYZÉK

1. Áttekintés és a legfontosabb különbség
2. Mi az XSS?
3. Mi a CSRF?
4. Side by Side összehasonlítás - XSS vs CSRF táblázatos formában
5. Összefoglalás

Mi az XSS??

Az XSS egy kódinjekciós támadás, amely rosszindulatú kódot fecskendez be a webhelyre. Ez az egyik leggyakoribb webhely-támadás. Ez hatással lehet a webhelyre, és a weboldal felhasználóira is. Más szavakkal, ha XSS támadás van a webhelyen, akkor a kód a böngésző által végrehajtja a webhely felhasználóit..

01. ábra: XSS támadás

Az egyik leggyakoribb nyelv az XSS rosszindulatú kódjának írására a JavaScript. Az XSS ellophatja a felhasználói sütiket. Módosíthatja a weboldalt, hogy másképp nézzen ki és viselkedjen. Ezenkívül megjelenítheti a rosszindulatú programok letöltését és megváltoztathatja a felhasználói beállításokat.

Kétféle XSS támadás létezik. Állandónak és nem tartósnak hívják őket. Ban ben tartós XSS támadás, a rosszindulatú kódot a webhely adatbázisában tárolja. A felhasználó bármilyen tudás nélkül hozzáférhet hozzá. Az nem perzisztens XSS támadás más néven Tükrözött XSS. A rosszindulatú szkriptet HTTP-kérelemként küldi el. Ez az XSS fő két típusa.

Mi a CSRF??

Egy weboldalon van kliens és szerver oldal is. A weblapok, űrlapok az ügyféloldalon vannak. A szerver oldali műveletet hajt végre, amikor a felhasználó cselekszik. A szerveroldal más webhelyekről is kéréseket kap.

A CSRF támadás becsapja a felhasználót egy harmadik fél webhelyén található oldalakkal vagy szkriptekkel való interakcióba. Rosszindulatú kérést generál a felhasználó webhelyére. De a szerver feltételezi, hogy ez egy felhatalmazott weboldal kérése. Amikor a felhasználó elfogadja, a támadó átveheti az irányítást a kérelemben elküldött adatok felhasználásával.

Az egyik példa a következő. A felhasználó bejelentkezik bankszámlájára. A bank egy munkamenet-tokent biztosít neki. A hacker becsaphatja a felhasználót, hogy rákattint egy hamis linkre, amely a bankra mutat. Amikor a felhasználó rákattint a linkre, az előző munkamenet-tokent használja. Ezután a hacker kérése végrehajtódik, és a felhasználói fiókot feltörik. Pénzt tud átutalni a számlájáról. A bankhoz intézett kérelem hamis, mivel a felhasználó ugyanazt a munkamenet-tokent használja. Összességében fontos tudni, hogyan lehet a weboldalt a CSRF támadásaitól megóvni a webfejlesztés során.

Mi a különbség az XSS és a CSRF között??

Az XSS a Cross Site Scripting, a CSRF pedig a Cross Site Request Forgery. Az XSS egy olyan számítógépes biztonsági rés a webes alkalmazásokban, amely lehetővé teszi a támadók számára, hogy ügyféloldali szkripteket adjanak be a többi felhasználó által megtekintett weboldalakra. A CSRF egy hacker vagy webhely rosszindulatú tevékenysége, amely olyan jogosulatlan parancsokat továbbít, amelyekbe a felhasználó webalkalmazása megbízhat. Az XSS-nek a JavaScript használatához is szükség van a rosszindulatú kód írásához, míg a CSRF nem igényli a JavaScriptet.

Ezenkívül az XSS-ben a webhely elfogadja a rosszindulatú kódot, míg a CSRF-ben a rosszindulatú kódot a harmadik fél webhelyein tárolják. Ez a fő különbség az XSS és a CSRF között. Általában egy olyan hely, amely érzékeny az XSS támadásra, szintén ki van téve a CSRF támadásnak. Ugyanakkor egy olyan webhely, amely védett az XSS-től, továbbra is érzékeny lehet a CSRF támadásokra.

Összegzés - XSS vs CSRF

Az XSS és a CSRF kétféle támadás egy webhely ellen. Az XSS a Cross Site Scripting, míg a CSRF a Cross Site Request Forgery. Az XSS és a CSRF közötti különbség az, hogy az XSS-ben a webhely elfogadja a rosszindulatú kódot, míg a CSRF-ben a rosszindulatú kódot a harmadik fél webhelyein tárolják..

Referencia:

1.DrapsTV. 2. XSS bemutató - Nem perzisztens szkriptek (tükrözött XSS), DrapsTV, 2015. január 23.  
2.Mi az a CSRF?, Hacksplaining, 2017. március 4. Elérhető itt 
3.DrapsTV. 3. XSS bemutató - Perzisztens szkriptek, DrapsTV, 2015. január 26. Itt érhető el
4.DrapsTV. 1. sz. XSS bemutató - Mi a webhelyek közötti szkriptek készítése ?, DrapsTV, 2015. január 22. Itt érhető el  

Kép jóvoltából:

1. '26393980275' b Christiaan Colen (CC BY-SA 2.0) Flickr útján