Starpība starp XSS un CSRF
Share
galvenā atšķirība starp XSS un CSRF ir tas, XSS (vai Cross Site Scripting) vietnē tiek pieņemts ļaunprātīgais kods, savukārt CSRF (vai Cross Site Request Forgery) ļaunprātīgais kods tiek glabāts trešās puses vietnēs.. XSS ir datora drošības ievainojamības veids tīmekļa lietojumprogrammās, kas uzbrucējiem ļauj ievadīt klienta puses skriptus Web lapās, kuras apskatījuši citi lietotāji. No otras puses, CSRF ir hakeru vai vietnes ļaunprātīgas darbības veids, kas pārraida neatļautas komandas, kurām lietotāja tīmekļa lietojumprogramma uzticēsies.
Web attīstība ir vietnes programmēšanas process atbilstoši klienta prasībām. Katra organizācija uztur vietnes. Šīs vietnes palīdz uzlabot biznesu un gūt peļņu. Tajā pašā laikā var būt draudi, kas ietekmē vietnes funkcionalitāti. Divas no tām ir XSS un CSRF.
SATURS
1. Pārskats un galvenās atšķirības
2. Kas ir XSS
3. Kas ir CSRF?
4. Salīdzinājums blakus - XSS vs CSRF tabulas formā
5. Kopsavilkums
Kas ir XSS?
XSS ir koda injekcijas uzbrukums, kas vietnē ievada ļaunprātīgu kodu. Tas ir viens no visizplatītākajiem tīmekļa vietņu uzbrukumiem. Tas var ietekmēt vietni un var ietekmēt arī šīs vietnes lietotājus. Citiem vārdiem sakot, ja vietnē notiek XSS uzbrukums, šo kodu šīs vietnes lietotājiem veiks pārlūks.
Attēls 01: XSS uzbrukums
Viena izplatīta valoda XSS ļaunprātīga koda rakstīšanai ir JavaScript. XSS var nozagt lietotāja sīkfailus. Tas var modificēt vietni, lai tā izskatās un izturētos savādāk. Turklāt tas var parādīt ļaunprātīgas programmatūras lejupielādes un mainīt lietotāja iestatījumus.
Pastāv divu veidu XSS uzbrukumi. Tos sauc par noturīgiem un nepārejošiem. Iekšā noturīgs XSS uzbrukums, kaitīgais kods tiek glabāts vietnes datu bāzē. Lietotājs tam var piekļūt bez zināšanām. ilgstošs XSS uzbrukums sauc arī Atstarots XSS. Tas ļaundabīgo skriptu nosūta kā HTTP pieprasījumu. Tie ir galvenie divi XSS veidi.
Kas ir CSRF??
Vietnē ir klienta puse un servera puse. Web lapas, veidlapas atrodas klienta pusē. Servera puse veic darbību, kad lietotājs rīkojas. Arī servera puse saņem pieprasījumus no citām vietnēm.
CSRF uzbrukums liek lietotājam mijiedarboties ar lapu vai skriptu trešās puses vietnē. Tas ģenerēs ļaunprātīgu pieprasījumu lietotāja vietnei. Bet serveris pieņem, ka tas ir pieprasījums no pilnvarotas vietnes. Kad lietotājs to akceptē, uzbrucējs var pārņemt kontroli, izmantojot pieprasījumā nosūtītos datus.
Viens piemērs ir šāds. Lietotājs piesakās savā bankas kontā. Banka viņam nodrošina sesijas marķieri. Hakeris var maldināt lietotāju noklikšķināt uz viltotas saites, kas norāda uz banku. Kad lietotājs noklikšķina uz saites, viņš izmanto iepriekšējo sesijas pilnvaru. Pēc tam hakera pieprasījums tiek izpildīts, un lietotāja konts tiek uzlauzts. Viņš var pārskaitīt naudu no sava konta. Pieprasījums bankai ir viltots, jo tajā tiek izmantots tas pats lietotāja sesijas marķieris. Kopumā Web izstrādē ir svarīgi zināt, kā pasargāt vietni no CSRF uzbrukuma.
Kāda ir atšķirība starp XSS un CSRF?
XSS nozīmē Cross Site Scripting, un CSRF ir Cross Site Request Forgery. XSS ir tīmekļa lietojumprogrammu datora drošības ievainojamības veids, kas uzbrucējiem ļauj ievadīt klienta puses skriptus tīmekļa lapās, kuras apskatījuši citi lietotāji. CSRF ir hakeru vai vietnes ļaunprātīgas darbības veids, kas pārsūta neatļautas komandas, kurām lietotāja tīmekļa lietojumprogramma uzticēsies. Turklāt XSS ir nepieciešams JavaScript, lai rakstītu ļaunprātīgo kodu, savukārt CSRF neprasa JavaScript.
Turklāt XSS vietnē vietne pieņem ļaunprātīgu kodu, savukārt CSRF ļaunprātīgais kods tiek glabāts trešo personu vietnēs. Šī ir galvenā atšķirība starp XSS un CSRF. Parasti vietne, kas ir neaizsargāta pret XSS uzbrukumu, ir arī neaizsargāta pret CSRF uzbrukumu. Tomēr vietne, kurai ir aizsardzība no XSS, joprojām var būt neaizsargāta pret CSRF uzbrukumiem.
Kopsavilkums - XSS vs CSRF
XSS un CSRF ir divu veidu uzbrukumi vietnei. XSS nozīmē Cross Site Scripting, savukārt CSRF nozīmē Cross Site Request Forgery. Atšķirība starp XSS un CSRF ir tāda, ka XSS vietnē vietne pieņem ļaunprātīgo kodu, savukārt CSRF ļaunprātīgais kods tiek glabāts trešo personu vietnēs..
Atsauce:
1.DrapsTV. XSS apmācība Nr. 2 - neatlaidīgi skripti (atspoguļots XSS), DrapsTV, 2015. gada 23. janvāris. Pieejams šeit
2.What is CSRF ?, Hacksplaining, 2017. gada 4. marts. Pieejams šeit
3.DrapsTV. XSS apmācība Nr. 3 - noturīgi skripti, DrapsTV, 2015. gada 26. janvāris. Pieejams šeit
4.DrapsTV. XSS apmācība Nr. 1 - Kas ir vietņu skriptēšana ?, DrapsTV, 2015. gada 22. janvāris. Pieejams šeit
Attēla pieklājība:
1.'26393980275 'b Kristians Kolens (CC BY-SA 2.0), izmantojot Flickr
