Rozdiel medzi XSS a CSRF
Share
kľúčový rozdiel medzi XSS a CSRF je to, v XSS (alebo Cross Site Scripting), web akceptuje škodlivý kód, zatiaľ čo v CSRF (alebo Forgery Cross Site Request Forgery) je škodlivý kód uložený na stránkach tretích strán. XSS je typ zabezpečenia počítačovej bezpečnosti vo webových aplikáciách, ktorý útočníkom umožňuje vkladať skripty na strane klienta na webové stránky, ktoré si prezerajú ostatní používatelia. Na druhej strane, CSRF je druh škodlivej činnosti hackera alebo webovej stránky, ktorá vysiela neoprávnené príkazy, ktorým bude webová aplikácia používateľa dôverovať.
Vývoj webu je proces programovania webovej stránky podľa požiadaviek klienta. Každá organizácia spravuje webové stránky. Tieto webové stránky pomáhajú zlepšovať podnikanie a dosahovať zisk. Zároveň môžu existovať hrozby, ktoré ovplyvňujú funkčnosť webovej stránky. Dvaja z nich sú XSS a CSRF.
OBSAH
1. Prehľad a kľúčový rozdiel
2. Čo je to XSS
3. Čo je CSRF
4. Porovnanie bok po boku - XSS vs CSRF v tabuľkovej forme
5. Zhrnutie
Čo je to XSS?
XSS je útok na vstrekovanie kódu, ktorý na web vloží škodlivý kód. Je to jeden z najbežnejších útokov na webové stránky. Môže to ovplyvniť webovú stránku a môže tiež ovplyvniť používateľov tejto webovej stránky. Inými slovami, ak dôjde k útoku XSS na webovú stránku, tento kód sa spustí v používateľoch tejto webovej stránky pomocou prehliadača..
Obrázok 01: XSS Attack
Jedným z bežných jazykov na písanie škodlivého kódu pre XSS je JavaScript. XSS môže ukradnúť súbory cookie používateľa. Môže zmeniť webovú stránku tak, aby vyzerala a správala sa inak. Ďalej môže zobrazovať sťahovanie škodlivého softvéru a meniť nastavenia používateľa.
Existujú dva typy útokov XSS. Nazývajú sa perzistentné a perzistentné. v pretrvávajúci XSS útok, škodlivý kód je uložený v databáze webovej stránky. Používateľ by k nemu mohol mať prístup bez akýchkoľvek vedomostí. trvalý útok XSS sa tiež nazýva Odrážané XSS. Pošle škodlivý skript ako požiadavku HTTP. To sú hlavné dva typy XSS.
Čo je CSRF?
Na webovej stránke je strana klienta a strana servera. Webové stránky, formuláre sú na strane klienta. Strana servera vykonáva akciu, keď užívateľ koná. Na strane servera sú prijímané žiadosti aj od iných webových stránok.
Útok CSRF podnecuje používateľa k interakcii so stránkou alebo skriptom na webe tretej strany. Vygeneruje škodlivú požiadavku na stránku používateľa. Server však predpokladá, že ide o žiadosť autorizovanej webovej stránky. Keď to užívateľ akceptuje, útočník môže prevziať kontrolu nad použitím údajov odoslaných v žiadosti.
Jeden príklad je nasledujúci. Používateľ sa prihlási na svoj bankový účet. Banka mu poskytuje token relácie. Hacker môže používateľa prinútiť kliknúť na falošný odkaz, ktorý ukazuje na banku. Keď používateľ klikne na odkaz, použije token predchádzajúcej relácie. Potom sa vykoná žiadosť hackera a používateľský účet je napadnutý. Môže prevádzať peniaze zo svojho účtu. Požiadavka na banku sa sfalšuje, pretože používa rovnaký token relácie používateľa. Celkovo je dôležité vedieť, ako chrániť webovú stránku pred napadnutím CSRF pri vývoji webových aplikácií.
Aký je rozdiel medzi XSS a CSRF?
XSS je skratka pre skriptovanie medzi webmi a CSRF je skratka pre falšovanie žiadostí medzi webmi. XSS je typ zabezpečenia počítačovej bezpečnosti vo webových aplikáciách, ktorý útočníkom umožňuje vkladať skripty na strane klienta na webové stránky, ktoré si prezerajú ostatní používatelia. CSRF je druh škodlivej činnosti hackera alebo webovej stránky, ktorá vysiela neoprávnené príkazy, ktorým bude webová aplikácia používateľa dôverovať. XSS tiež vyžaduje, aby JavaScript zapisoval škodlivý kód, zatiaľ čo CSRF nevyžaduje JavaScript.
Ďalej v XSS web akceptuje škodlivý kód, zatiaľ čo v CSRF je škodlivý kód uložený na stránkach tretích strán. Toto je hlavný rozdiel medzi XSS a CSRF. Zvyčajne je stránka, ktorá je náchylná na útok XSS, tiež náchylná na útok CSRF. Avšak stránka, ktorá má ochranu pred XSS, môže byť stále zraniteľná voči útokom CSRF.
Zhrnutie - XSS vs CSRF
XSS a CSRF sú dva typy útokov na webovú stránku. XSS je skratka pre skriptovanie medzi webmi, zatiaľ čo CSRF je skratka pre falšovanie žiadostí o viac stránok. Rozdiel medzi XSS a CSRF je v tom, že v XSS web akceptuje škodlivý kód, zatiaľ čo v CSRF je škodlivý kód uložený na stránkach tretích strán..
referencie:
1.DrapsTV. Výukový program pre XSS # 2 - Neperzistentné skripty (zrkadlené XSS), DrapsTV, 23. januára 2015. K dispozícii tu
2.Čo je CSRF ?, Hacksplaining, 4. marca 2017. K dispozícii tu
3.DrapsTV. Výukový program pre XSS # 3 - Perzistentné skripty, DrapsTV, 26. januára 2015. K dispozícii tu
4.DrapsTV. Výukový program pre XSS # 1 - Čo je skriptovanie na viacerých stránkach ?, DrapsTV, 22. januára 2015. K dispozícii tu
S láskavým dovolením:
1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) cez Flickr
