diferența cheie între XSS și CSRF este asta, în XSS (sau Cross Site Scripting), site-ul acceptă codul rău intenționat, în timp ce, în CSRF (sau False Solicitări Cross Site), codul rău intenționat este stocat în site-urile terță parte. XSS este un tip de vulnerabilitate a securității calculatorului în aplicațiile web, care permite atacatorilor să injecteze scripturi de pe partea clientului în pagini web vizualizate de alți utilizatori. Pe de altă parte, CSRF este un tip de activitate rău intenționată a unui hacker sau a unui site web care transmite comenzi neautorizate pe care aplicația web a utilizatorului le va încredința.
Dezvoltarea web este procesul de programare a unui site web în funcție de cerințele clientului. Fiecare organizație întreține site-uri web. Aceste site-uri web ajută la îmbunătățirea afacerii și la obținerea de profit. În același timp, pot exista amenințări care afectează funcționalitatea site-ului web. Două dintre acestea sunt XSS și CSRF.
1. Prezentare generală și diferență cheie
2. Ce este XSS
3. Ce este CSRF
4. Comparație de la o parte la alta - XSS vs. CSRF în formă tabulară
5. rezumat
XSS este un atac de injecție de cod care injectează codul malware pe site. Acesta este unul dintre cele mai comune atacuri de site-uri web. Poate afecta site-ul web și poate afecta și utilizatorii acestui site. Cu alte cuvinte, atunci când există un atac XSS pe site-ul web, acel cod va fi executat în browser-ul utilizatorilor acelui site.
Figura 01: Atac XSS
O limbă comună pentru a scrie cod rău intenționat pentru XSS este JavaScript. XSS poate fura cookie-urile utilizatorului. Poate modifica pagina web să se uite și să se comporte diferit. În plus, poate afișa descărcări de programe malware și poate schimba setările utilizatorului.
Există două tipuri de atacuri XSS. Ele sunt numite persistente și non-persistente. În persistent atac XSS, codul rău intenționat este stocat în baza de date a site-ului Web. Utilizatorul ar putea accesa aceasta fără nici o cunoaștere. non-persistente atac XSS este de asemenea numit Reflectat XSS. Trimite scriptul malware ca o solicitare HTTP. Acestea sunt principalele două tipuri din XSS.
Într-un site web, există o parte client și partea de server. Paginile web, formularele sunt pe partea clientului. Partea de server efectuează o acțiune atunci când acționează utilizatorul. Serverul primește și cereri de la alte site-uri web.
CSRF atacă utilizatorii să interacționeze cu o pagină sau un script pe un site terț. Acesta va genera o cerere rău intenționat pe site-ul utilizatorului. Dar serverul presupune că este o solicitare de la un site web autorizat. Când utilizatorul o acceptă, un atacator poate lua controlul asupra utilizării datelor trimise în cerere.
Un exemplu este după cum urmează. Un utilizator se conectează la contul său bancar. Banca îi oferă un jeton de sesiune. Un hacker poate șterge utilizatorul să facă clic pe un link fals care arată spre bancă. Când utilizatorul face clic pe link, utilizează jetonul de sesiune anterioară. Apoi, cererea hackerului se execută și contul de utilizator este hacked. El poate transfera bani din contul său. Solicitarea către bancă este falsă, deoarece utilizează același simbol de sesiune al utilizatorului. În general, este important să știți cum să protejați site-ul de atacurile CSRF în dezvoltarea web.
XSS înseamnă Cross Site Scripting, iar CSRF înseamnă Crossing Request for Cross Site. XSS este un tip de vulnerabilitate a securității calculatorului în aplicații web, care permite atacatorilor să injecteze scripturi de pe partea clientului în pagini web vizualizate de alți utilizatori. CSRF este un tip de activitate rău intenționată a unui hacker sau a unui site web care transmite comenzi neautorizate pe care aplicația web a utilizatorului o va avea încredere. De asemenea, XSS necesită JavaScript pentru a scrie codul rău intenționat în timp ce CSRF nu necesită JavaScript.
În plus, în XSS, site-ul acceptă codul rău intenționat în timp ce se află în CSRF, codul rău intenționat este stocat pe site-urile terță parte. Aceasta este diferența principală dintre XSS și CSRF. De obicei, un site vulnerabil la atacurile XSS este, de asemenea, vulnerabil la atacul CSRF. Cu toate acestea, un site care are protecție împotriva XSS poate fi în continuare vulnerabil la atacurile CSRF.
XSS și CSRF sunt două tipuri de atacuri la un site web. XSS înseamnă Cross Site Scripting, în timp ce CSRF reprezintă Crossing Request for Cross Site. Diferența dintre XSS și CSRF este că, în XSS, site-ul acceptă codul rău intenționat, în timp ce în CSRF codul rău intenționat este stocat în site-urile terță parte.
1.DrapsTV. XSS Tutorial # 2 - Scripturi non persistente (Reflected XSS), DrapsTV, 23 ianuarie 2015. Disponibil aici
2.Ce este CSRF ?, Hacksplaining, 4 martie 2017. Disponibil aici
3.DrapsTV. XSS Tutorial # 3 - Scripturi persistente, DrapsTV, 26 ianuarie 2015. Disponibil aici
4.DrapsTV. XSS Tutorial # 1 - Ce este Scripting Cross Site ?, DrapsTV, 22 ianuarie 2015. Disponibil aici
1. Christiane Colen (CC BY-SA 2.0) prin intermediul Flickr