Основное различие: XSS и CSRF - это два типа уязвимостей компьютерной безопасности. XSS расшифровывается как межсайтовый скриптинг. CSRF расшифровывается как подделка межсайтовых запросов. В XSS хакер пользуется доверием пользователя к определенному веб-сайту. С другой стороны, в CSRF хакер пользуется доверием веб-сайта к браузеру определенного пользователя.
XSS расшифровывается как межсайтовый скриптинг. Межсайтовый скриптинг - это эксплойт безопасности, при котором злоумышленник вставляет скрипты в динамическую форму. В настоящее время она считается самой распространенной уязвимостью безопасности, обнаруженной на веб-сайтах. В XSS хакер внедряет вредоносный клиентский скрипт в веб-сайт. Этот скрипт добавлен, чтобы вызвать некоторую форму уязвимости для жертвы.
Для этой цели злоумышленники или хакеры используют JavaScript, VBScript, ActiveX, HTML или Flash. Как только атака будет успешной, хакер может причинить вред разными способами. Например, злоумышленник может взломать учетную запись или даже изменить настройки пользователя. Типичный пример XSS можно увидеть, когда для этой цели используется вредоносная ссылка. Создается ссылка, содержащая скрытый вредоносный код, и пользователю предлагается нажать на нее. Если пользователь щелкает по нему, вредоносный код выполняется в веб-браузере клиента.
Атаки с использованием межсайтовых сценариев можно разделить на два типа:
- Постоянный - в этом типе уязвимости вредоносные данные постоянно хранятся в базе данных, а затем к ним обращаются и запускают жертвы, не зная об этом.
- Непостоянные. В этом типе уязвимости данные, предоставленные злоумышленником, используются в данном конкретном случае без каких-либо задержек.
CSRF расшифровывается как подделка межсайтовых запросов. Он также известен как атака одним нажатием или сессия. Он использует доверие целевого сайта к пользователю. Вредоносная атака разработана таким образом, что пользователь отправляет вредоносные запросы на целевой веб-сайт, не зная об атаке. Злоумышленник, использующий CSRF, может выполнить ряд задач, например, некоторое содержимое может быть размещено на доске объявлений, акции могут быть проданы, и даже электронная открытка может быть отправлена по почте. Одним из наиболее распространенных способов проведения CSRF-атаки является использование тега изображения HTML или объекта изображения JavaScript.
Этот вид уязвимости не ограничивается только браузерами. Вредоносный сценарий также может быть выполнен с помощью текстового документа, файла Flash, фильма и т. Д. Некоторые из важных функций CSRF включают в себя:
- Вход жертвы не является обязательным, поскольку это зависит от намерения злоумышленника.
- Злоумышленник может сгенерировать несколько запросов на целевой сайт.
- Это работает очень хорошо с другими типами атак.
- Как правило, данные с атакованного сайта не могут быть прочитаны злоумышленником, и это служит ограничением для CSRF.
Сравнение между XSS и CSRF:
XSS | CSRF | |
Полная форма | Межсайтовый скриптинг | Подделка межсайтовых запросов |
Определение | В XSS хакер внедряет вредоносный скрипт на стороне клиента в веб-сайт. Этот скрипт добавлен, чтобы вызвать некоторую форму уязвимости для жертвы. | Он использует доверие целевого сайта к пользователю. Вредоносная атака разработана таким образом, что пользователь отправляет вредоносные запросы на целевой веб-сайт, не зная об атаке. |
зависимость | Внедрение произвольных данных по данным, которые не проверены | О функциональности и возможностях браузера для извлечения и выполнения набора атак |
Требование JavaScript | да | нет |
Состояние | Принятие вредоносного кода сайтами | Вредоносный код находится на сторонних сайтах |
уязвимость | Сайт, уязвимый для атак XSS, также уязвим для атак CSRF. | Сайт, который полностью защищен от атак типа XSS, по-прежнему наиболее подвержен атакам CSRF. |