Hovedforskjell: XSS og CSRF er to typer sikkerhetsproblemer i datamaskinen. XSS står for Cross-Site Scripting. CSRF står for forespørselsforfalskning på stedet. I XSS utnytter hackeren den tilliten som en bruker har for en bestemt nettside. På den annen side utnytter hackeren i CSRF et nettsteds tillit til en bestemt brukeres nettleser.
XSS står for Cross-Site Scripting. Cross Site Scripting er en sikkerhetsutnyttelse der en ondsinnet hacker setter inn skript i en dynamisk form. Det regnes nå som det vanligste sikkerhetsproblemet som finnes på nettsteder. I XSS injiserer en hacker et skadelig klientside-script til et nettsted. Dette skriptet er lagt til for å forårsake en slags sårbarhet for et offer.
Attackere eller hackere bruker JavaScript, VBScript, ActiveX, HTML eller Flash til dette formålet. Når angrepet er vellykket, kan hackeren forårsake skade på mange måter. For eksempel kan angriperen kapre kontoen eller til og med endre brukerens innstillinger. Et vanlig eksempel på XSS kan ses hvor en skadelig lenke brukes til det formålet. En lenke som inneholder en skjult skadelig kode, opprettes, og brukeren blir bedt om å klikke på den. Hvis brukeren klikker på den, blir den skadelige koden utført på klientens nettleser.
Cross-site scripting angrep kan i stor grad deles i to typer-
- Vedvarende - I denne typen sikkerhetsproblemer lagres de ondsinnede dataene permanent i en database og blir senere åpnet og drevet av ofrene uten å ha kjennskap til det.
- Ikke-vedvarende - I denne typen sikkerhetsproblemer brukes dataene fra den ondsinnede hackeren til den aktuelle forekomsten uten forsinkelse.
CSRF står for forespørselsforfalskning på stedet. Det er også kjent som ett-klikk-angrep eller øktkjøring. Det utnytter den målrettede nettsidenes tillit til en bruker. Et ondsinnet angrep er utformet på en slik måte at en bruker sender ondsinnede forespørsler til målwebområdet uten å ha kjennskap til angrepet. En rekke oppgaver kan utføres av en angriper som bruker CSRF, for eksempel kan noe innhold bli lagt ut på et meldingsbord, aksjer kan handles og til og med kan et e-kort sendes. En av de vanligste måtene å utføre et CSRF-angrep er å bruke en HTML-bildemerke eller et JavaScript-bildeobjekt.
Denne typen sikkerhetsproblem er ikke bare begrenset til nettlesere. Den ondsinnede skriptingen kan også gjøres gjennom et orddokument, Flash-fil, film, osv. Noen av de viktige funksjonene i CSRF inkluderer -
- Det er ikke obligatorisk for offeret å være logget inn som det avhenger av angriperenes intensjon.
- Flere forespørsler kan genereres av angriperen til målområdet.
- Det fungerer svært godt med andre typer angrep.
- Vanligvis kan dataene fra det angrepet nettstedet ikke leses av angriperen, og dette tjener som en begrensning for CSRF.
Sammenligning mellom XSS og CSRF:
XSS | CSRF | |
Fullstendig format | Cross-Site Scripting | Forfalskning på stedet |
Definisjon | I XSS injiserer en hacker et skadelig klientsideskript på et nettsted. Dette skriptet er lagt til for å forårsake en slags sårbarhet for et offer. | Det utnytter det målrettede nettstedets tillit til en bruker. Et ondsinnet angrep er utformet på en slik måte at en bruker sender ondsinnede forespørsler til målwebområdet uten å ha kjennskap til angrepet. |
avhengighet | Injeksjon av vilkårlig data av data som ikke er validert | På funksjonaliteten og funksjonene til nettleseren for å hente og utføre angrepssamlingen |
Krav på JavaScript | Ja | Nei |
Tilstand | Godkjenning av ondsinnet kode av nettstedene | Ondskad kode er plassert på tredjeparts nettsteder |
sårbarhet | Et nettsted som er sårbart for XSS-angrep, er også sårbart for CSRF-angrep | Et nettsted som er helt beskyttet mot XSS-typer angrep er fortsatt sannsynlig sårbar for CSRF-angrep. |