Rozdiel kľúčov: XSS a CSRF sú dva typy zraniteľností počítačovej bezpečnosti. XSS znamená skriptovanie medzi lokalitami. CSRF znamená falšovanie medzi webovými stránkami. V systéme XSS hacker využíva dôveru, ktorú používateľ má pre určitú webovú stránku. Na druhej strane v CSRF hacker využíva dôveru webových stránok pre prehliadač určitého používateľa.
XSS znamená skriptovanie medzi lokalitami. Cross Site Scripting je bezpečnostný nástroj, v ktorom škodlivý hacker vkladá skripty do dynamickej formy. Teraz sa považuje za najbežnejšiu chybu zabezpečenia, ktorá sa nachádza na webových stránkach. V systéme XSS hacker injektuje škodlivý skript na strane klienta na webovú stránku. Tento skript sa pridáva, aby spôsobil nejakú formu zraniteľnosti obete.
Útočníci alebo hackeri používajú na tento účel JavaScript, VBScript, ActiveX, HTML alebo Flash. Akonáhle je útok úspešný, hacker môže spôsobiť škody mnohými spôsobmi. Útočník môže napríklad zneužiť účet alebo dokonca zmeniť používateľské nastavenia. Bežný príklad XSS je viditeľný tam, kde sa na tento účel používa zlomyseľné prepojenie. Vytvorí sa odkaz obsahujúci skrytý škodlivý kód a používateľ bude vyzvaný, aby naň klikol. Ak ho používateľ klikne, škodlivý kód sa spustí na webovom prehliadači klienta.
Skriptovacie útoky medzi lokalitami sa dajú široko rozdeliť na dva typy -
- Trvalé - v tomto type zraniteľnosti sú škodlivé údaje uložené natrvalo v databáze a neskôr sú prístupné a spustené obeťami bez toho, aby o tom mali vedomosti.
- Non-persistent - V tomto type zraniteľnosti sa dáta poskytované škodlivým hackerom používajú v konkrétnej inštancii bez oneskorenia.
CSRF znamená falšovanie medzi webovými stránkami. Je to tiež známy ako útok na jedno kliknutie alebo jazdu na relácii. Využíva dôveru cielenej webovej stránky pre používateľa. Škodlivý útok je navrhnutý takým spôsobom, že používateľ posiela škodlivé požiadavky na cieľovú webovú stránku bez toho, aby mal vedomosti o útoku. Niekoľko úloh môže vykonať útočník, ktorý používa CSRF, napríklad môže byť nejaký obsah zverejnený na výveske, môžu sa obchodovať s akciami a môže sa poslať aj elektronická pošta. Jedným z najbežnejších spôsobov, ako vykonať CSRF útok, je použiť HTML image tag alebo objekt obrázku JavaScript.
Tento druh zraniteľnosti nie je obmedzený iba na prehliadače. Škodlivé skriptovanie môže byť vykonané aj prostredníctvom dokumentu Word, súboru Flash, filmu atď. Niektoré z dôležitých funkcií CSRF zahŕňajú -
- Nie je povinné, aby sa obeť prihlásila, pretože závisí od úmyslu útočníka.
- Útočník môže generovať viacero požiadaviek na cieľovú lokalitu.
- Funguje to veľmi dobre s inými druhmi útokov.
- Vo všeobecnosti údaje útočiaceho miesta nemôžu čítať útočník a toto slúži ako obmedzenie pre CSRF.
Porovnanie XSS a CSRF:
XSS | CSRF | |
Plná forma | Skriptovanie medzi lokalitami | Krížové vyžiadanie medzi webovými stránkami |
definícia | V systéme XSS hacker injektuje skript na strane škodlivého klienta na webovej stránke. Tento skript sa pridáva, aby spôsobil nejakú formu zraniteľnosti obete. | Využíva dôveru cielených webových stránok v používateľov. Škodlivý útok je navrhnutý tak, že používateľ posiela škodlivé požiadavky na cieľovú webovú stránku bez toho, aby mal vedomosti o útoku. |
závislosť | Injekcia ľubovoľných údajov údajmi, ktoré nie sú validované | O funkciách a funkciách prehliadača na získavanie a vykonanie balíka útokov |
Požiadavka JavaScript | Áno | žiadny |
podmienka | Prijatie škodlivého kódu stránkami | Škodlivý kód sa nachádza na stránkach tretích strán |
zraniteľnosť | Stránka, ktorá je citlivá na útoky XSS, je tiež citlivá na útoky CSRF | Stránka, ktorá je úplne chránená pred typmi útokov typu XSS, je stále pravdepodobne citlivá na útoky CSRF. |