The ключова різниця між XSS та CSRF це те, що, у XSS (або міжсайтовій скриптуванні) сайт приймає зловмисний код, в той час як у CSRF (або підробка міжзаписових заявок) зловмисний код зберігається на сторонніх сайтах. XSS - це тип вразливості комп'ютерної безпеки у веб-додатках, який дозволяє зловмисникам вводити сценарії на стороні клієнта на веб-сторінки, які переглядають інші користувачі. З іншого боку, CSRF - це тип шкідливої діяльності хакера чи веб-сайту, який передає несанкціоновані команди, яким веб-додаток користувача буде довіряти.
Розробка веб-сайтів - це процес програмування веб-сайту відповідно до вимог клієнта. Кожна організація підтримує веб-сайти. Ці веб-сайти допомагають покращити бізнес та отримати прибуток. При цьому можуть виникнути загрози, які впливають на функціональність веб-сайту. Два з них - XSS та CSRF.
1. Огляд та ключові відмінності
2. Що таке XSS
3. Що таке CSRF
4. Порівняльне порівняння - XSS проти CSRF у табличній формі
5. Підсумок
XSS - атака введення коду, яка вводить шкідливий код на веб-сайт. Це одна з найпоширеніших атак на веб-сайт. Це може вплинути на веб-сайт, а також може вплинути на користувачів цього веб-сайту. Іншими словами, коли на веб-сайті відбувається атака XSS, цей код буде виконаний браузером у користувачів цього веб-сайту..
Малюнок 01: Атака XSS
Однією з поширених мов написання шкідливого коду для XSS є JavaScript. XSS може вкрасти файли cookie користувача. Він може змінювати веб-сторінку так, щоб вона виглядала та поводилася по-різному. Крім того, він може відображати завантаження зловмисного програмного забезпечення та змінювати налаштування користувача.
Існує два типи атак XSS. Їх називають стійкими і непостійними. В стійкий напад XSS, шкідливий код зберігається в базі даних веб-сайту. Користувач може отримати доступ до нього без будь-яких знань. The непостійний напад XSS також називається Відбитий XSS. Він надсилає шкідливий сценарій у вигляді HTTP-запиту. Це основні два типи в XSS.
На веб-сайті є клієнтська та серверна сторони. Веб-сторінки, форми знаходяться на стороні клієнта. Сторона сервера виконує дію, коли користувач діє. Сторона сервера отримує запити і від інших веб-сайтів.
Напад CSRF обманює користувача взаємодіяти зі сторінкою або сценарієм на сторонній сайті. Це створить шкідливий запит на сайт користувача. Але сервер припускає, що це запит від авторизованого веб-сайту. Коли користувач приймає це, зловмисник може взяти на себе контроль над використанням даних, надісланих у запиті.
Один із прикладів такий. Користувач входить у свій банківський рахунок. Банк надає йому маркер сесії. Хакер може обманути користувача натиснути на фальшиве посилання, яке вказує на банк. Коли користувач натискає посилання, він використовує маркер попереднього сеансу. Потім запит хакера виконується, а обліковий запис користувача зламається. Він може перерахувати гроші зі свого рахунку. Запит до банку підробляється, оскільки він використовує той самий маркер сеансу користувача. Загалом, важливо знати, як захистити веб-сайт від нападу CSRF у веб-розробці.
XSS розшифровується як хрестоматійна сценарія, а CSRF розшифровується як підробка між сайтами. XSS - це тип вразливості комп'ютерної безпеки у веб-додатках, який дозволяє зловмисникам вводити сценарії на стороні клієнта на веб-сторінки, які переглядають інші користувачі. CSRF - це тип шкідливої діяльності хакера або веб-сайту, який передає несанкціоновані команди, яким веб-додаток користувача буде довіряти. Крім того, XSS вимагає JavaScript для написання шкідливого коду, тоді як CSRF не вимагає JavaScript.
Крім того, у XSS сайт приймає зловмисний код, тоді як у CSRF, зловмисний код зберігається на сторонніх сайтах. У цьому головна відмінність XSS від CSRF. Зазвичай сайт, вразливий для нападу XSS, також вразливий до атаки CSRF. Однак сайт із захистом від XSS все ще може бути вразливим для атак CSRF.
XSS та CSRF - це два типи атак на веб-сайт. XSS розшифровується як сценарій крос-сайтів, в той час як CSRF розшифровується як підробка між сайтами Різниця між XSS та CSRF полягає в тому, що в XSS сайт приймає шкідливий код, тоді як у CSRF шкідливий код зберігається на сторонніх сайтах.
1.DrapsTV. XSS Підручник №2 - Нестійкі сценарії (відбиті XSS), DrapsTV, 23 січня 2015 р. Доступний тут
2. Що таке CSRF ?, Hacksplaining, 4 березня 2017. Доступно тут
3.DrapsTV. Підручник XSS №3 - Стійкі сценарії, DrapsTV, 26 січня 2015 р. Доступний тут
4.DrapsTV. XSS Підручник №1 - Що таке сценарій між веб-сайтами ?, DrapsTV, 22 січня 2015 р. Доступний тут
1.'26393980275 'b Крістіан Колен (CC BY-SA 2.0) через Flickr