Diferența cheie dintre XSS și CSRF este că, în XSS (sau Cross Site Scripting), site-ul acceptă codul rău intenționat, în timp ce, în CSRF (sau Cross Site Request Forgery), codul rău intenționat este stocat în al treilea. site-uri pentru petreceri. XSS este un tip de vulnerabilitate de securitate a computerului în aplicațiile web care le permite atacatorilor să injecteze scripturi la nivelul clientului în paginile web vizualizate de alți utilizatori. Pe de altă parte, CSRF este un tip de activitate rău intenționată a unui hacker sau a unui site web care transmite comenzi neautorizate în care aplicația web a utilizatorului va avea încredere.
Dezvoltarea web este procesul de programare a unui site web în funcție de cerințele clientului. Fiecare organizație menține site-uri web. Aceste site-uri web ajută la îmbunătățirea afacerii și la obținerea de profit. În același timp, pot exista amenințări care afectează funcționalitatea site-ului web. Două dintre ele sunt XSS și CSRF.
Ce este XSS?
XSS este un atac de injectare de cod care injectează cod rău intenționat în site. Este unul dintre cele mai frecvente atacuri de site-uri web. Poate afecta site-ul web și poate afecta, de asemenea, utilizatorii site-ului respectiv. Cu alte cuvinte, atunci când există un atac XSS pe site, acel cod se va executa în utilizatorii acelui site de către browser.
Figura 01: Atacul XSS
Un limbaj comun pentru a scrie cod rău intenționat pentru XSS este JavaScript. XSS poate fura cookie-urile utilizatorului. Poate modifica pagina web pentru a arăta și a se comporta diferit. În plus, poate afișa descărcări de programe malware și poate modifica setările utilizatorului.
Există două tipuri de atacuri XSS. Ele sunt numite persistente și nepersistente. În cazul unui atac XSS persistent, codul rău intenționat este stocat în baza de date a site-ului web. Utilizatorul îl poate accesa fără nicio cunoștință. Atacul XSS nepersistent se mai numește și Reflected XSS. Trimite scriptul rău intenționat ca cerere HTTP. Acestea sunt principalele două tipuri din XSS.
Ce este CSRF?
Într-un site web, există o parte client și partea server. Paginile web, formularele sunt pe partea clientului. Partea server efectuează o acțiune atunci când utilizatorul acționează. Partea server primește solicitări și de la alte site-uri web.
Atacul CSRF păcălește utilizatorul pentru a interacționa cu o pagină sau un script de pe un site terță parte. Va genera o solicitare rău intenționată către site-ul utilizatorului. Dar serverul presupune că este o solicitare de la un site web autorizat. Când utilizatorul o acceptă, un atacator poate prelua controlul asupra utilizării datelor trimise în cerere.
Un exemplu este următorul. Un utilizator se conectează la contul său bancar. Banca îi oferă un jeton de sesiune. Un hacker poate păcăli utilizatorul să facă clic pe un link fals care indică către bancă. Când utilizatorul face clic pe link, folosește simbolul de sesiune anterioară. Apoi, cererea hackerului se execută și contul de utilizator este piratat. El poate transfera bani din contul său. Solicitarea către bancă este falsificată deoarece folosește același simbol de sesiune al utilizatorului. În general, este important să știți cum să protejați site-ul web de atacul CSRF în dezvoltarea web.
Care este diferența dintre XSS și CSRF?
XSS înseamnă Cross Site Scripting, iar CSRF înseamnă Cross Site Request Forgery. XSS este un tip de vulnerabilitate de securitate a computerului în aplicațiile web care le permite atacatorilor să injecteze scripturi la nivelul clientului în paginile web vizualizate de alți utilizatori. CSRF este un tip de activitate rău intenționată a unui hacker sau a unui site web care transmite comenzi neautorizate în care aplicația web a utilizatorului va avea încredere. De asemenea, XSS necesită JavaScript pentru a scrie codul rău intenționat, în timp ce CSRF nu necesită JavaScript.
În plus, în XSS, site-ul acceptă codul rău intenționat, în timp ce în CSRF, codul rău intenționat este stocat pe site-urile terțelor părți. Aceasta este principala diferență dintre XSS și CSRF. De obicei, un site care este vulnerabil la atacul XSS este, de asemenea, vulnerabil la atacul CSRF. Cu toate acestea, un site care are protecție împotriva XSS poate fi totuși vulnerabil la atacurile CSRF.
Rezumat – XSS vs CSRF
XSS și CSRF sunt două tipuri de atacuri la adresa unui site web. XSS înseamnă Cross Site Scripting, în timp ce CSRF înseamnă Cross Site Request Forgery. Diferența dintre XSS și CSRF este că, în XSS, site-ul acceptă codul rău intenționat, în timp ce, în CSRF, codul rău intenționat este stocat pe site-urile terțelor părți.
