Skirtumas tarp XSS ir CSRF

pagrindinis skirtumas tarp XSS ir CSRF yra tas, naudojant XSS (arba „Cross Site Scripting“), svetainė priima kenkėjišką kodą, o CSRF (arba „Cross Site Request Forgery“) kenkėjiškas kodas saugomas trečiųjų šalių svetainėse. XSS yra kompiuterio saugumo pažeidžiamumas žiniatinklio programose, leidžiantis užpuolikams įšvirkšti kliento scenarijus į tinklalapius, kuriuos mato kiti vartotojai. Kita vertus, CSRF yra įsilaužėlio ar svetainės kenkėjiškos veiklos rūšis, perduodama neleistinas komandas, kuriomis pasitikės vartotojo žiniatinklio programa..

Žiniatinklio kūrimas yra svetainės programavimo procesas pagal kliento reikalavimus. Kiekviena organizacija prižiūri svetaines. Šios svetainės padeda pagerinti verslą ir gauti pelno. Tuo pačiu metu gali kilti grėsmių, turinčių įtakos svetainės funkcionalumui. Du iš jų yra XSS ir CSRF.

TURINYS

1. Apžvalga ir svarbiausias skirtumas
2. Kas yra XSS
3. Kas yra CSRF
4. Šalutinis palyginimas - XSS vs CSRF lentelės forma
5. Santrauka

Kas yra XSS?

XSS yra kodo įpurškimo ataka, kuri įveda kenksmingą kodą į svetainę. Tai yra viena iš labiausiai paplitusių interneto svetainių atakų. Tai gali paveikti svetainę ir tos pačios svetainės vartotojus. Kitaip tariant, kai svetainėje yra XSS ataka, tą kodą šios svetainės vartotojams vykdys naršyklė..

01 paveikslas: XSS ataka

Viena įprasta kalba, skirta rašyti kenksmingą XSS kodą, yra „JavaScript“. XSS gali pavogti vartotojo slapukus. Tai gali pakeisti tinklalapį, kad jis atrodytų ir elgtųsi kitaip. Be to, jis gali rodyti kenkėjiškų programų atsisiuntimus ir pakeisti vartotojo nustatymus.

Yra du XSS atakų tipai. Jie vadinami atkakliais ir neišsilaikančiais. Į nuolatinė XSS ataka, kenksmingas kodas yra saugomas svetainės duomenų bazėje. Vartotojas gali prieiti prie jo be jokių žinių. nenuolatinis XSS išpuolis dar vadinamas Atspindėtas XSS. Jis siunčia kenkėjišką scenarijų kaip HTTP užklausą. Tai yra pagrindiniai du XSS tipai.

Kas yra CSRF?

Svetainėje yra kliento ir serverio pusės. Tinklalapiai, formos yra kliento pusėje. Serverio pusė atlieka veiksmą, kai vartotojas veikia. Serverio pusė gauna užklausas ir iš kitų svetainių.

CSRF ataka leidžia vartotojui sąveikauti su trečiosios šalies svetainės puslapiu ar scenarijumi. Tai sukurs kenksmingą užklausą vartotojo svetainėje. Tačiau serveris daro prielaidą, kad tai yra užklausa iš įgaliotos svetainės. Kai vartotojas sutinka, užpuolikas gali valdyti naudodamas užklausoje atsiųstus duomenis.

Vienas iš pavyzdžių yra toks. Vartotojas prisijungia prie savo banko sąskaitos. Bankas jam suteikia sesijos ženklą. Įsilaužėlis gali apgauti vartotoją spustelėdamas netikrą nuorodą, nukreipiančią į banką. Kai vartotojas spustelėja nuorodą, jis naudojasi ankstesnio seanso prieigos raktu. Tada įsilaužėlio užklausa vykdoma, o vartotojo abonementas įsilaužiamas. Jis gali pervesti pinigus iš savo sąskaitos. Prašymas bankui yra suklastotas, nes jis naudoja tą patį vartotojo seanso ženklą. Apskritai svarbu žinoti, kaip apsaugoti svetainę nuo CSRF užpuolimo.

Kuo skiriasi XSS ir CSRF??

XSS reiškia „Cross Site Scripting“, o CSRF - „Cross Site Request Forgery“. XSS yra kompiuterio saugumo pažeidžiamumas žiniatinklio programose, leidžiantis užpuolikams įšvirkšti kliento scenarijus į tinklalapius, kuriuos mato kiti vartotojai. CSRF yra įsilaužėlio ar svetainės kenkėjiškos veiklos rūšis, perduodama neleistinas komandas, kuriomis pasitikės vartotojo žiniatinklio programa. Taip pat XSS reikalauja „JavaScript“, kad būtų parašytas kenksmingas kodas, o CSRF nereikalauja „JavaScript“.

Be to, XSS svetainėje svetainė priima kenkėjišką kodą, o CSRF kenkėjiškas kodas yra saugomas trečiųjų šalių svetainėse. Tai yra pagrindinis skirtumas tarp XSS ir CSRF. Paprastai svetainė, kuri yra pažeidžiama XSS atakos, taip pat yra pažeidžiama CSRF išpuolio. Tačiau svetainė, turinti apsaugą nuo XSS, vis dar gali būti pažeidžiama CSRF atakų.

Santrauka - XSS vs CSRF

XSS ir CSRF yra dviejų tipų išpuoliai į svetainę. XSS reiškia „Cross Site Scripting“, o CSRF - „Cross Site Request Forgery“. Skirtumas tarp XSS ir CSRF yra tas, kad naudojant XSS, svetainė priima kenkėjišką kodą, o CSRF - kenksmingas kodas yra saugomas trečiųjų šalių svetainėse..

Nuoroda:

1.DrapsTV. XSS pamoka Nr. 2 - neatpažįstami scenarijai (atspindimas XSS), „DrapsTV“, 2015 m. Sausio 23 d.  
2. Kas yra CSRF ?, „Hacksplaining“, 2017 m. Kovo 4 d. Galima rasti čia 
3.DrapsTV. XSS pamoka Nr. 3 - nuolatiniai scenarijai, „DrapsTV“, 2015 m. Sausio 26 d. Galima rasti čia
4.DrapsTV. XSS pamoka Nr. 1 - Kas yra „Cross Site Scripting“ ?, „DrapsTV“, 2015 m. Sausio 22 d. Galima rasti čia  

Vaizdo mandagumas:

1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) per „Flickr“