Forskjellen mellom XSS og CSRF

De nøkkelforskjell mellom XSS og CSRF er det, i XSS (eller Cross Site Scripting), aksepterer nettstedet den ondsinnede koden, mens CSRF (eller Cross Site Request Forgery), lagrer ondsinnet kode på tredjeparts nettsteder. XSS er en type datasikkerhetsproblemer i webapplikasjoner som gjør det mulig for angripere å injisere klientside-skript på nettsider som er sett av andre brukere. På den annen side er CSRF en type ondsinnet aktivitet av en hacker eller et nettsted som overfører uautoriserte kommandoer som brukerens webapplikasjon vil stole på.

Webutvikling er prosessen med å programmere et nettsted i henhold til klientens krav. Hver organisasjon opprettholder nettsteder. Disse nettstedene bidrar til å forbedre virksomheten og få fortjeneste. Samtidig kan det være trusler som påvirker funksjonaliteten til nettstedet. To av dem er XSS og CSRF.

INNHOLD

1. Oversikt og nøkkelforskjell
2. Hva er XSS
3. Hva er CSRF
4. Side ved side sammenligning - XSS vs CSRF i tabellform
5. Sammendrag

Hva er XSS?

XSS er et kodeinjeksjonsangrep som injiserer ondsinnet kode på nettsiden. Det er et av de vanligste nettstedangrepene. Det kan påvirke nettstedet og kan også påvirke brukerne av nettstedet. Med andre ord, når det er et XSS-angrep på nettsiden, vil koden utføres av brukerne av den nettsiden av nettleseren.

Figur 01: XSS Attack

Et vanlig språk for å skrive skadelig kode for XSS er JavaScript. XSS kan stjele brukerens informasjonskapsler. Det kan endre nettsiden til å se og oppføre seg annerledes. Videre kan det vise nedlastinger av malware og endre brukerens innstillinger.

Det er to typer XSS-angrep. De kalles vedvarende og ikke-vedvarende. I vedvarende XSS-angrep, den ondsinnede koden er lagret i nettsidedatabasen. Brukeren kan få tilgang til den uten noen kjennskap. De ikke-vedvarende XSS-angrep er også kalt Reflektert XSS. Den sender det skadelige skriptet som en HTTP-forespørsel. Det er de to viktigste typene i XSS.

Hva er CSRF?

På et nettsted er det en klientside og serversiden. Nettsidene, skjemaene er på klientsiden. Server siden utfører en handling når brukeren opptrer. Server side får forespørsler fra andre nettsteder også.

CSRF-angrep bruker brukeren til å samhandle med en side eller et skript på et tredjeparts nettsted. Det vil generere en ondsinnet forespørsel til brukerens nettsted. Men serveren antar at det er en forespørsel fra en autorisert nettside. Når brukeren aksepterer det, kan en angriper ta kontrollen over ved hjelp av dataene som sendes i forespørselen.

Et eksempel er som følger. En bruker logger på sin bankkonto. Banken gir ham et økttoken. En hacker kan lure brukeren til å klikke på en falsk lenke som peker mot banken. Når brukeren klikker lenken, bruker den forrige sessionstoken. Deretter kjører hackerens forespørsel, og brukerkontoen er hacket. Han kan overføre penger fra sin konto. Forespørselen til banken er smidd ettersom den bruker samme økttoken til brukeren. Samlet sett er det viktig å vite hvordan du beskytter nettsiden mot CSRF-angrep i webutvikling.

Hva er forskjellen mellom XSS og CSRF?

XSS står for Cross Site Scripting, og CSRF står for Cross Site Request Forgery. XSS er en type datasikkerhetssårbarhet i webapplikasjoner som gjør det mulig for angripere å injisere klientside-skript på nettsider som er sett av andre brukere. CSRF er en type ondsinnet aktivitet av en hacker eller et nettsted som overfører uautoriserte kommandoer som brukerens webprogram vil stole på. XSS krever også JavaScript for å skrive den skadelige koden mens CSRF ikke krever JavaScript.

Videre, i XSS, aksepterer nettstedet den ondsinnede koden mens den er i CSRF, blir den ondsinnede koden lagret på tredjepartswebsider. Dette er den viktigste forskjellen mellom XSS og CSRF. Vanligvis er et nettsted som er sårbart for XSS-angrep, også sårbart for CSRF-angrepet. Et nettsted som har beskyttelse fra XSS kan imidlertid fortsatt være sårbart for CSRF-angrep.

Sammendrag - XSS vs CSRF

XSS og CSRF er to typer angrep på et nettsted. XSS står for Cross Site Scripting mens CSRF står for Cross Site Request Forgery. Forskjellen mellom XSS og CSRF er at i XSS, aksepterer nettstedet den ondsinnede koden, mens CSRF lagrer den skadelige koden på tredjeparts nettsteder.

Henvisning:

1.DrapsTV. XSS Tutorial # 2 - Ikke-vedvarende Scripts (Reflected XSS), DrapsTV, 23 Jan. 2015. Tilgjengelig her  
2. Hva er CSRF ?, Hacksplaining, 4. mars 2017.  Tilgjengelig her 
3.DrapsTV. XSS Tutorial # 3 - Persistent Scripts, DrapsTV, 26. januar 2015.  Tilgjengelig her
4.DrapsTV. XSS Tutorial # 1 - Hva er Cross Site Scripting ?, DrapsTV, 22 Jan. 2015. Tilgjengelig her  

Bilde Courtesy:

1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) via Flickr