Rozdíl mezi XSS a CSRF

klíčový rozdíl mezi XSS a CSRF je to, v XSS (nebo Cross Site Scripting), web přijímá škodlivý kód, zatímco v CSRF (nebo Forgery Cross Site Request) je škodlivý kód uložen na webech třetích stran. XSS je typ zranitelnosti zabezpečení počítače ve webových aplikacích, který útočníkům umožňuje vkládat skripty na straně klienta na webové stránky prohlížené jinými uživateli. Na druhé straně je CSRF typem škodlivé činnosti hackera nebo webu, který přenáší neautorizované příkazy, kterým bude webová aplikace uživatele důvěřovat.

Vývoj webu je proces programování webové stránky podle požadavků klienta. Každá organizace udržuje webové stránky. Tyto webové stránky pomáhají zlepšit podnikání a získat zisk. Zároveň mohou existovat hrozby, které ovlivňují funkčnost webu. Dva z nich jsou XSS a CSRF.

OBSAH

1. Přehled a klíčový rozdíl
2. Co je to XSS
3. Co je CSRF
4. Porovnání bok po boku - XSS vs. CSRF v tabulkové formě
5. Shrnutí

Co je to XSS?

XSS je útok na vstřikování kódu, který na web vkládá škodlivý kód. Je to jeden z nejčastějších útoků na webové stránky. Může to ovlivnit web a může také ovlivnit uživatele tohoto webu. Jinými slovy, pokud na webu dojde k útoku XSS, bude tento kód spuštěn v uživatelích tohoto webu prohlížečem.

Obrázek 01: XSS Attack

Jedním běžným jazykem pro psaní škodlivého kódu pro XSS je JavaScript. XSS může ukrást uživatelské cookies. Může upravit webovou stránku tak, aby vypadala a chovala se jinak. Kromě toho může zobrazovat stahování malwaru a měnit nastavení uživatele.

Existují dva typy útoků XSS. Nazývají se perzistentní a perzistentní. v přetrvávající útok XSS, škodlivý kód je uložen v databázi webových stránek. Uživatel by k němu mohl mít přístup bez jakýchkoli znalostí. trvalý útok XSS se také nazývá Reflexní XSS. Odesílá škodlivý skript jako požadavek HTTP. To jsou hlavní dva typy XSS.

Co je CSRF?

Na webové stránce je strana klienta a strana serveru. Webové stránky, formuláře jsou na straně klienta. Strana uživatele provádí akci, když uživatel jedná. Na straně serveru jsou přijímány požadavky i od jiných webů.

Útok CSRF přiměje uživatele k interakci se stránkou nebo skriptem na webu třetí strany. Na web uživatele vygeneruje škodlivý požadavek. Server však předpokládá, že se jedná o žádost autorizovaného webu. Když to uživatel přijme, může útočník převzít kontrolu nad použitím dat odeslaných v žádosti.

Jeden příklad je následující. Uživatel se přihlásí na svůj bankovní účet. Banka mu poskytuje žeton relace. Hacker může uživatele přimět, aby klikl na falešný odkaz, který ukazuje na banku. Když uživatel klikne na odkaz, použije předchozí token relace. Poté se provede požadavek hackera a uživatelský účet je napaden. Může převádět peníze ze svého účtu. Požadavek na banku je falšován, protože používá stejný token relace uživatele. Celkově je důležité vědět, jak chránit web před útokem CSRF při vývoji webu.

Jaký je rozdíl mezi XSS a CSRF?

XSS je zkratka pro Cross Site Scripting, a CSRF je zkratka pro Cross Site Request Forgery. XSS je typ zranitelnosti zabezpečení počítače ve webových aplikacích, který útočníkům umožňuje vkládat skripty na straně klienta na webové stránky prohlížené jinými uživateli. CSRF je typ škodlivé činnosti hackera nebo webu, který přenáší neautorizované příkazy, kterým bude webová aplikace uživatele důvěřovat. XSS také vyžaduje, aby JavaScript zapisoval škodlivý kód, zatímco CSRF nevyžaduje JavaScript.

Kromě toho v XSS web přijímá škodlivý kód, zatímco v CSRF je škodlivý kód uložen na webech třetích stran. Toto je hlavní rozdíl mezi XSS a CSRF. Obvykle je web, který je náchylný k útoku XSS, také náchylný k útoku CSRF. Stránky, které mají ochranu před XSS, však mohou být stále zranitelné vůči útokům CSRF.

Shrnutí - XSS vs CSRF

XSS a CSRF jsou dva typy útoků na web. XSS je zkratka pro Cross Site Scripting, zatímco CSRF je zkratka pro Cross Site Request Forgery. Rozdíl mezi XSS a CSRF je v tom, že v XSS web přijímá škodlivý kód, zatímco v CSRF je škodlivý kód uložen na webech třetích stran.

Odkaz:

1.DrapsTV. Výukový program XSS # 2 - Neperzistentní skripty (Reflected XSS), DrapsTV, 23. ledna 2015. K dispozici zde  
2.Co je CSRF ?, Hacksplaining, 4. března 2017. K dispozici zde 
3.DrapsTV. Výukový program XSS # 3 - Persistent Scripts, DrapsTV, 26. ledna 2015. K dispozici zde
4.DrapsTV. Výukový program XSS č. 1 - Co je skriptování mezi weby ?, DrapsTV, 22. ledna 2015. K dispozici zde  

Obrázek se svolením:

1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) přes Flickr