ključna razlika između XSS i CSRF je to, u XSS (ili Cross Site Scripting) web mjesto prihvaća zlonamjerni kod dok je u CSRF (ili križanju krivotvorenih web lokacija) zlonamjerni kod pohranjen na web lokacijama trećih strana. XSS je vrsta računalne sigurnosne ranjivosti u web aplikacijama koja omogućuje napadačima da ubrizgavaju skripte na strani klijenta u web stranice koje pregledavaju drugi korisnici. S druge strane, CSRF je vrsta zlonamjerne aktivnosti hakera ili web stranice koja prenosi neovlaštene naredbe u koje će vjerovati korisnička web aplikacija.
Web razvoj je proces programiranja web stranice u skladu sa zahtjevima klijenta. Svaka organizacija održava web stranice. Ove web stranice pomažu u poboljšanju poslovanja i ostvarivanju dobiti. Istovremeno, mogu postojati prijetnje koje utječu na funkcionalnost web stranice. Dvije od njih su XSS i CSRF.
1. Pregled i ključne razlike
2. Što je XSS
3. Što je CSRF
4. Usporedna usporedba - XSS vs CSRF u tabelarnom obliku
5. Sažetak
XSS je napad ubrizgavanja koda koji na web lokaciju ubrizga zlonamjerni kod. To je jedan od najčešćih napada na web mjesto. Može utjecati na web mjesto i može utjecati na korisnike te web stranice. Drugim riječima, kada postoji napad XSS na web mjesto, preglednik će izvršiti taj kôd u korisnicima te web stranice.
Slika 01: XSS Attack
Jedan uobičajeni jezik za pisanje zlonamernog koda za XSS je JavaScript. XSS može ukrasti korisničke kolačiće. Može modificirati web stranicu tako da izgleda i ponaša se drugačije. Nadalje, može prikazati preuzimanje zlonamjernog softvera i promijeniti korisničke postavke.
Postoje dvije vrste napada XSS. Nazivaju se postojanim i nepostojanim. U uporni XSS napad, zlonamjerni je kôd pohranjen u bazi web stranica. Korisnik mu može pristupiti bez ikakvog znanja. neprestani napad XSS također se naziva Odbijeni XSS. Šalje zlonamjernu skriptu kao HTTP zahtjev. To su glavne dvije vrste u XSS.
Na web mjestu postoji strana klijenta i poslužitelj. Web stranice, obrasci nalaze se na strani klijenta. Strana poslužitelja obavlja radnju kada korisnik djeluje. Strana poslužitelja također prima zahtjeve i s drugih web mjesta.
CSRF napad izigrava korisnika na interakciju sa stranicom ili skriptu na web mjestu treće strane. To će generirati zlonamjerni zahtjev na web stranici korisnika. Ali poslužitelj pretpostavlja da je to zahtjev ovlaštenog web mjesta. Kad korisnik to prihvati, napadač može preuzeti kontrolu nad podacima koji su poslani u zahtjevu.
Jedan primjer je sljedeći. Korisnik se prijavljuje na svoj bankovni račun. Banka mu pruža token za sjednicu. Haker može prevariti korisnika da klikne na lažnu vezu koja upućuje na banku. Kad korisnik klikne na vezu, koristi prethodni token sesije. Zatim se izvršava zahtjev hakera, a korisnički račun je hakiran. Može prenijeti novac sa svog računa. Zahtjev banci je krivotvoren jer koristi isti žeton sesije korisnika. Općenito, važno je znati kako zaštititi web mjesto od CSRF napada u web razvoju.
XSS označava križanje skrivenih stranica, a CSRF za krivotvorenje križaljki. XSS je vrsta računalne sigurnosne ranjivosti u web aplikacijama koja omogućuje napadačima da ubrizgavaju skripte na strani klijenta u web stranice koje pregledavaju drugi korisnici. CSRF je vrsta zlonamjerne aktivnosti hakera ili web stranice koja prenosi neovlaštene naredbe u koje će se vjerovati korisnička web aplikacija. Također, XSS zahtijeva JavaScript za pisanje zloćudnog koda dok CSRF ne zahtijeva JavaScript.
Nadalje, u XSS-u web mjesto prihvaća zlonamjerni kod dok je u CSRF-u zlonamjerni kod pohranjen na web-lokacijama trećih strana. Ovo je glavna razlika između XSS i CSRF. Mjesto koje je ranjivo na XSS napad obično je također ranjivo na CSRF napad. Međutim, web mjesto koje ima zaštitu od XSS još uvijek može biti ranjivo na CSRF napade.
XSS i CSRF dvije su vrste napada na web mjesto. XSS znači Cross Cross Scripting, dok CSRF označava Cross krivicu stranica. Razlika između XSS i CSRF je u tome što u XSS web mjesto prihvaća zlonamjerni kod dok je u CSRF zlonamjerni kod pohranjen na web lokacijama trećih strana.
1.DrapsTV. XSS Vodič br. 2 - Nepostojani skripti (reflektirani XSS), DrapsTV, 23. siječnja 2015. Dostupno ovdje
2.Što je CSRF ?, Hacksplaining, 4. ožujka 2017. Dostupno ovdje
3.DrapsTV. XSS Tutorial # 3 - Trajni skripti, DrapsTV, 26. siječnja 2015. Dostupno ovdje
4.DrapsTV. XSS Vodič br. 1 - Što je skriptu na različitim web lokacijama ?, DrapsTV, 22. siječnja 2015. Dostupno ovdje
1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) putem Flickr-a