Ero XSS n ja CSRF n välillä

avainero XSS: n ja CSRF: n välillä on se, XSS: ssä (tai Cross Site Scripting) sivusto hyväksyy haitallisen koodin, kun taas CSRF: ssä (tai Cross Site Request Forgery) haitallinen koodi tallennetaan kolmansien osapuolten sivustoille. XSS on tietyn tyyppinen verkkosovellusten tietoturvahaavoittuvuus, jonka avulla hyökkääjät voivat syöttää asiakaspuolen skriptejä muiden käyttäjien katsomille verkkosivuille. Toisaalta CSRF on hakkerin tai verkkosivuston haitallista toimintaa, joka välittää luvattomia komentoja, joihin käyttäjän verkkosovellus luottaa.

Verkkokehitys on verkkosivuston ohjelmointiprosessi asiakkaan vaatimusten mukaan. Jokainen organisaatio ylläpitää verkkosivustoja. Nämä verkkosivustot auttavat parantamaan yritystä ja saamaan voittoa. Samanaikaisesti voi olla uhkia, jotka vaikuttavat verkkosivuston toimivuuteen. Kaksi niistä on XSS ja CSRF.

SISÄLLYS

1. Yleiskatsaus ja keskeiset erot
2. Mikä on XSS
3. Mikä on CSRF
4. Vertailu rinnakkain - XSS vs CSRF taulukkomuodossa
5. Yhteenveto

Mikä on XSS?

XSS on koodin syöttöhyökkäys, joka ruiskuttaa haitallisen koodin verkkosivustolle. Se on yksi yleisimmistä verkkosivustojen hyökkäyksistä. Se voi vaikuttaa verkkosivustoon ja myös verkkosivuston käyttäjiin. Toisin sanoen, kun verkkosivustolla on XSS-hyökkäys, se suorittaa kyseisen sivuston käyttäjille selaimen.

Kuva 01: XSS-hyökkäys

Yksi yleinen kieli kirjoittaa haitallista koodia XSS: lle on JavaScript. XSS voi varastaa käyttäjän evästeitä. Se voi muokata verkkosivua näyttämään ja käyttäytymään eri tavalla. Lisäksi se voi näyttää haittaohjelmien latauksia ja muuttaa käyttäjän asetuksia.

XSS-hyökkäyksiä on kahta tyyppiä. Niitä kutsutaan pysyviksi ja pysyviksi. Sisään jatkuva XSS-hyökkäys, haitallinen koodi tallennetaan verkkosivustojen tietokantaan. Käyttäjä voi käyttää sitä tietämättä. ei-pysyvä XSS-hyökkäys kutsutaan myös Heijastettu XSS. Se lähettää haittaohjelman HTTP-pyynnönä. Nämä ovat tärkeimmät kaksi tyyppiä XSS: ssä.

Mikä on CSRF?

Verkkosivustolla on asiakas- ja palvelinpuolet. Verkkosivut, lomakkeet ovat asiakaspuolella. Palvelinpuoli suorittaa toimenpiteen, kun käyttäjä toimii. Palvelinpuoli saa pyyntöjä myös muilta verkkosivustoilta.

CSRF-hyökkäys huomaa käyttäjän vuorovaikutuksessa sivun tai skriptin kanssa kolmannen osapuolen sivustolla. Se tuottaa haitallisen pyynnön käyttäjän sivustolle. Mutta palvelin olettaa, että se on valtuutetun verkkosivuston pyyntö. Kun käyttäjä hyväksyy sen, hyökkääjä voi ottaa hallintaansa pyynnössä lähetettyjen tietojen avulla.

Yksi esimerkki on seuraava. Käyttäjä kirjautuu sisään pankkitililleen. Pankki antaa hänelle istunnon. Hakkeri voi huijata käyttäjän napsauttamaan vääriä linkkejä, jotka osoittavat pankkiin. Kun käyttäjä napsauttaa linkkiä, hän käyttää edellistä istunnon tunnusta. Sitten hakkerin pyyntö toteutetaan ja käyttäjätili hakkeroidaan. Hän voi siirtää rahaa tililtään. Pankkipyyntö väärennetään, koska se käyttää samaa käyttäjän istunnon tunnusta. Kaiken kaikkiaan on tärkeää osata suojata verkkosivusto CSRF-hyökkäyksiltä web-kehityksessä.

Mitä eroa on XSS: n ja CSRF: n välillä??

XSS tarkoittaa sivustojen välistä komentosarjaa ja CSRF tarkoittaa sivustojen välistä pyyntöjen väärentämistä. XSS on tietyn tyyppinen verkkosovellusten tietoturvahaavoittuvuus, jonka avulla hyökkääjät voivat syöttää asiakaspuolen skriptejä muiden käyttäjien katsomille verkkosivuille. CSRF on hakkerin tai verkkosivuston haitallista toimintaa, joka välittää luvattomia komentoja, joihin käyttäjän verkkosovellus luottaa. Lisäksi XSS vaatii JavaScriptin kirjoittamaan haittakoodin, kun taas CSRF ei vaadi JavaScriptiä.

Lisäksi XSS: ssä sivusto hyväksyy haitallisen koodin, kun taas CSRF: ssä haitallinen koodi tallennetaan kolmansien osapuolien sivustoille. Tämä on tärkein ero XSS: n ja CSRF: n välillä. Yleensä sivusto, joka on herkkä XSS-hyökkäykselle, on myös alttiina CSRF-hyökkäykselle. Sivusto, joka on suojattu XSS: ltä, voi kuitenkin olla alttiita CSRF-hyökkäyksille.

Yhteenveto - XSS vs. CSRF

XSS ja CSRF ovat kahden tyyppisiä hyökkäyksiä verkkosivustoille. XSS tarkoittaa sivustojen välistä komentosarjaa, kun taas CSRF tarkoittaa sivustojen välistä väärentämistä. Ero XSS: n ja CSRF: n välillä on se, että XSS: ssä sivusto hyväksyy haitallisen koodin, kun taas CSRF: ssä haitallinen koodi tallennetaan kolmansien osapuolien sivustoille..

Viite:

1.DrapsTV. XSS-opetusohjelma # 2 - Pysymättömät skriptit (heijastettu XSS), DrapsTV, 23. tammikuuta 2015. Saatavilla täältä  
2.Mitä CSRF on?, Hacksplaining, 4. maaliskuuta 2017. Saatavilla täältä 
3.DrapsTV. XSS-opetusohjelma # 3 - Pysyvät skriptit, DrapsTV, 26. tammikuuta 2015. Saatavilla täältä
4.DrapsTV. XSS-opetusohjelma # 1 - Mikä on sivustojenvälinen komentosarja ?, DrapsTV, 22. tammikuuta 2015. Saatavana täältä  

Kuvan kohteliaisuus:

1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) Flickrin kautta