Skillnad mellan XSS och CSRF
Share
De nyckelskillnad mellan XSS och CSRF är det, I XSS (eller Cross Site Scripting) accepterar webbplatsen den skadliga koden medan CSRF (eller Cross Site Request Forgery) innehåller skadlig kod lagras på tredje parts webbplatser. XSS är en typ av datasäkerhetssårbarhet i webbapplikationer som gör att angripare kan injicera klientsidans skript i webbsidor som visas av andra användare. Å andra sidan är CSRF en typ av skadlig aktivitet hos en hackare eller en webbplats som sänder obehöriga kommandon som användarens webbapplikation kommer att lita på.
Webbutveckling är processen att programmera en webbplats enligt kundens krav. Varje organisation upprätthåller webbplatser. Dessa webbplatser bidrar till att förbättra verksamheten och få vinst. Samtidigt kan det finnas hot som påverkar webbplatsens funktionalitet. Två av dem är XSS och CSRF.
INNEHÅLL
1. Översikt och nyckelskillnad
2. Vad är XSS
3. Vad är CSRF
4. Jämförelse vid sida vid sida - XSS vs CSRF i tabellform
5. Sammanfattning
Vad är XSS?
XSS är en kodinjektionsattack som injicerar skadlig kod på webbplatsen. Det är en av de vanligaste attackerna på webbplatsen. Det kan påverka webbplatsen och kan också påverka användarna på den webbplatsen. Med andra ord, när det finns en XSS-attack på webbplatsen, kommer den koden att köras på användarna av den webbplatsen av webbläsaren.
Figur 01: XSS Attack
Ett vanligt språk för att skriva skadlig kod för XSS är JavaScript. XSS kan stjäla användarens cookies. Det kan ändra webbsidan för att se och uppträda annorlunda. Dessutom kan det visa nedladdningar av skadliga program och ändra användarens inställningar.
Det finns två typer av XSS-attacker. De kallas långlivade och icke-beständiga. I uthållig XSS-attack, Den skadliga koden lagras i webbdatabasen. Användaren får tillgång till den utan någon kunskap. De icke-beständig XSS-attack kallas också Reflekterad XSS. Den skickar det skadliga skriptet som en HTTP-begäran. Det är de två största typerna i XSS.
Vad är CSRF?
På en webbplats finns en klientsida och serverns sida. Webbsidorna, formulären finns på klientsidan. Serverns sida utför en åtgärd när användaren agerar. Server sidan får också förfrågningar från andra webbplatser.
CSRF-attack trickar användaren att interagera med en sida eller ett skript på en tredje parts webbplats. Det kommer att generera en skadlig begäran till användarens webbplats. Men servern förutsätter att det är en begäran från en auktoriserad webbplats. När användaren accepterar det kan en angripare ta kontrollen med de data som skickas i förfrågan.
Ett exempel är följande. En användare loggar in på sitt bankkonto. Banken ger honom en sessionstoken. En hacker kan lura användaren att klicka på en falsk länk som pekar på banken. När användaren klickar på länken använder den tidigare sessionstoken. Då körs hackarens begäran och användarkontot hackas. Han kan överföra pengar från sitt konto. Begäran till banken är smidd eftersom den använder samma sessionstoken till användaren. Sammantaget är det viktigt att veta hur man skyddar webbplatsen från CSRF-angrepp i webbutveckling.
Vad är skillnaden mellan XSS och CSRF?
XSS står för Cross Site Scripting, och CSRF står för Cross Site Request Forgery. XSS är en typ av datasäkerhetssårbarhet i webbapplikationer som gör att angripare kan injicera klientsidans skript i webbsidor som visas av andra användare. CSRF är en typ av skadlig aktivitet hos en hacker eller en webbplats som sänder obehöriga kommandon som användarens webbapplikation kommer att lita på. XSS kräver också JavaScript för att skriva den skadliga koden medan CSRF inte kräver JavaScript.
Dessutom, i XSS, accepterar webbplatsen den skadliga koden i CSRF, den skadliga koden lagras på tredje parts webbplatser. Detta är den största skillnaden mellan XSS och CSRF. Vanligtvis är en webbplats som är sårbar mot XSS-attacken också sårbar för CSRF-attacken. En webbplats som har skydd från XSS kan dock vara sårbar för CSRF-attacker.
Sammanfattning - XSS vs CSRF
XSS och CSRF är två typer av attacker till en webbplats. XSS står för Cross Site Scripting medan CSRF står för Cross Site Request Forgery. Skillnaden mellan XSS och CSRF är att i XSS accepterar sajten den skadliga koden, medan den skadliga koden lagras på tredje parts webbplatser i CSRF.
Referens:
1.DrapsTV. XSS Tutorial # 2 - Oavsiktliga skript (Reflected XSS), DrapsTV, 23 jan 2015. Tillgänglig här
2. Vad är CSRF ?, Hacksplaining, 4 mars 2017. Tillgänglig här
3.DrapsTV. XSS Tutorial # 3 - Persistent Scripts, DrapsTV, 26 jan 2015. Tillgänglig här
4.DrapsTV. XSS Tutorial # 1 - Vad är Cross Site Scripting ?, DrapsTV, 22 Jan. 2015. Tillgänglig här
Image Courtesy:
1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) via Flickr
