Rozdiel medzi XSS a CSRF

Rozdiel kľúčov: XSS a CSRF sú dva typy zraniteľností počítačovej bezpečnosti. XSS znamená skriptovanie medzi lokalitami. CSRF znamená falšovanie medzi webovými stránkami. V systéme XSS hacker využíva dôveru, ktorú používateľ má pre určitú webovú stránku. Na druhej strane v CSRF hacker využíva dôveru webových stránok pre prehliadač určitého používateľa.

XSS znamená skriptovanie medzi lokalitami. Cross Site Scripting je bezpečnostný nástroj, v ktorom škodlivý hacker vkladá skripty do dynamickej formy. Teraz sa považuje za najbežnejšiu chybu zabezpečenia, ktorá sa nachádza na webových stránkach. V systéme XSS hacker injektuje škodlivý skript na strane klienta na webovú stránku. Tento skript sa pridáva, aby spôsobil nejakú formu zraniteľnosti obete.

Útočníci alebo hackeri používajú na tento účel JavaScript, VBScript, ActiveX, HTML alebo Flash. Akonáhle je útok úspešný, hacker môže spôsobiť škody mnohými spôsobmi. Útočník môže napríklad zneužiť účet alebo dokonca zmeniť používateľské nastavenia. Bežný príklad XSS je viditeľný tam, kde sa na tento účel používa zlomyseľné prepojenie. Vytvorí sa odkaz obsahujúci skrytý škodlivý kód a používateľ bude vyzvaný, aby naň klikol. Ak ho používateľ klikne, škodlivý kód sa spustí na webovom prehliadači klienta.

Skriptovacie útoky medzi lokalitami sa dajú široko rozdeliť na dva typy -

  • Trvalé - v tomto type zraniteľnosti sú škodlivé údaje uložené natrvalo v databáze a neskôr sú prístupné a spustené obeťami bez toho, aby o tom mali vedomosti.
  • Non-persistent - V tomto type zraniteľnosti sa dáta poskytované škodlivým hackerom používajú v konkrétnej inštancii bez oneskorenia.

CSRF znamená falšovanie medzi webovými stránkami. Je to tiež známy ako útok na jedno kliknutie alebo jazdu na relácii. Využíva dôveru cielenej webovej stránky pre používateľa. Škodlivý útok je navrhnutý takým spôsobom, že používateľ posiela škodlivé požiadavky na cieľovú webovú stránku bez toho, aby mal vedomosti o útoku. Niekoľko úloh môže vykonať útočník, ktorý používa CSRF, napríklad môže byť nejaký obsah zverejnený na výveske, môžu sa obchodovať s akciami a môže sa poslať aj elektronická pošta. Jedným z najbežnejších spôsobov, ako vykonať CSRF útok, je použiť HTML image tag alebo objekt obrázku JavaScript.

Tento druh zraniteľnosti nie je obmedzený iba na prehliadače. Škodlivé skriptovanie môže byť vykonané aj prostredníctvom dokumentu Word, súboru Flash, filmu atď. Niektoré z dôležitých funkcií CSRF zahŕňajú -

  • Nie je povinné, aby sa obeť prihlásila, pretože závisí od úmyslu útočníka.
  • Útočník môže generovať viacero požiadaviek na cieľovú lokalitu.
  • Funguje to veľmi dobre s inými druhmi útokov.
  • Vo všeobecnosti údaje útočiaceho miesta nemôžu čítať útočník a toto slúži ako obmedzenie pre CSRF.

Porovnanie XSS a CSRF:

XSS

CSRF

Plná forma

Skriptovanie medzi lokalitami

Krížové vyžiadanie medzi webovými stránkami

definícia

V systéme XSS hacker injektuje skript na strane škodlivého klienta na webovej stránke. Tento skript sa pridáva, aby spôsobil nejakú formu zraniteľnosti obete.

Využíva dôveru cielených webových stránok v používateľov. Škodlivý útok je navrhnutý tak, že používateľ posiela škodlivé požiadavky na cieľovú webovú stránku bez toho, aby mal vedomosti o útoku.

závislosť

Injekcia ľubovoľných údajov údajmi, ktoré nie sú validované

O funkciách a funkciách prehliadača na získavanie a vykonanie balíka útokov

Požiadavka JavaScript

Áno

žiadny

podmienka

Prijatie škodlivého kódu stránkami

Škodlivý kód sa nachádza na stránkach tretích strán

zraniteľnosť

Stránka, ktorá je citlivá na útoky XSS, je tiež citlivá na útoky CSRF

Stránka, ktorá je úplne chránená pred typmi útokov typu XSS, je stále pravdepodobne citlivá na útoky CSRF.

Odporúčaná

Súvisiace Články

  • rozdiel medzi: Rozdiel medzi ľuďmi a zbohom

    Rozdiel medzi ľuďmi a zbohom

    Kľúčový rozdiel: Pojmy "bye" a "zbohom" sú dosť podobné. Obaja sú rozdeľujúce frázy, čo znamená, že sa používajú, keď ľudia rozdeľujú cesty, tj idú svojou vlastnou cestou. Zbohom sa zdá byť príliš formálne, zatiaľ čo "bye" je skrátený a menej formálny spôsob, ako hovoriť "zbohom". Pojmy "bye" a "ro
  • rozdiel medzi: Rozdiel medzi zelenou kartou, pasom a vízou

    Rozdiel medzi zelenou kartou, pasom a vízou

    Kľúčový rozdiel: Zelená karta sa vzťahuje na preukaz totožnosti, ktorý štát vydal nečlenom ako povolenie na pobyt a pracovné povolenie na neurčitý čas. Všeobecne sa používa v kontexte štatútu trvalého pobytu v USA. Passport vydáva vláda svojim občanom a pôsobí ako doklad totožnosti a občianstva tejto osoby. Používa sa na cestovanie d
  • rozdiel medzi: Rozdiel medzi Majstrovstvom sveta v krikete a majstrovskou trofejou

    Rozdiel medzi Majstrovstvom sveta v krikete a majstrovskou trofejou

    Kľúčový rozdiel: Majstrovstvá sveta v krikete a Champions Trophy sú dva rôzne kriketové turnaje, ktoré sú držané Medzinárodnou kriketovou radou (ICC). Kriketový majstrovstvá sveta sú starším turnajom dvoch a považujú sa za dôležitejšie medzi týmito dvoma. Majstrovstvá sveta v krikete a majstrovstvá majstrov sú dva rôzne kriketové turnaje, ktoré sú držané Medzinárodnou kriketovou radou (ICC). Tieto dva turnaje sú v mnohých o
  • rozdiel medzi: Rozdiel medzi HTC First a Asus FonePad

    Rozdiel medzi HTC First a Asus FonePad

    Hlavný rozdiel: HTC First je prvý telefón, ktorý bude uvoľnený na domácom používateľskom rozhraní služby Facebook. Telefón bude napájaný dvojjadrovým Kraitom Qualcomm MSM8930 Snapdragon 400 1, 4 GHz a 1 GB RAM. Asus oznámil spustenie najnovšieho phabletu, Asus Fonepad. Fonepad je 7-palcový tablet s Androidom, ktorý umožňuje používateľom uskutočňovať aj telefonické hovory umiestnením zariadenia do uší. Fablet pracuje s procesorom In
  • rozdiel medzi: Rozdiel medzi Nokia Lumia 520 a Samsung Galaxy Grand

    Rozdiel medzi Nokia Lumia 520 a Samsung Galaxy Grand

    Kľúčový rozdiel: Nokia Lumia 520 je 4-palcový IPS kapacitný dotykový smartphone s displejom s rozmermi 480x800 pixelov, ktorý ponúka približne 233 ppi. Telefón je vybavený vnútornou pamäťou 8 GB, ktorú možno rozšíriť až na 64 GB. Telefón ponúka 1 GHz na dvojjadrovom snapdragonu S4 a len 512 MB RAM, čo je mierne sklamaním. Samsung Galaxy Grand je
  • rozdiel medzi: Rozdiel medzi MKV a MP4

    Rozdiel medzi MKV a MP4

    Kľúčový rozdiel: MKV aj MP4 sú formáty súborov, ktoré sa používajú hlavne na prehrávanie videí so zvukom. MKV a MP4 nie sú kódovacie formáty, ale sú súbory kontajnerov, tj v podstate obálky pre formátované video súbory. Hlavný rozdiel medzi týmito dvoma nie je z formátov samotných, ale z typov kodekov používaných v súboroch. Obe súbory MKV a MP4 sú form
  • rozdiel medzi: Rozdiel medzi Asus PadFone Infinity a Sony Xperia Z

    Rozdiel medzi Asus PadFone Infinity a Sony Xperia Z

    Kľúčový rozdiel: Asus Padfone Infinity smartphone je elegantný 5-palcový pln HD 1920x1080, Super IPS + s dotykovým panelom Capacitive Multi a poskytuje hustotu približne 441 ppi. Prístroj je barový telefón s zakrivenými rohmi, ktoré mu dávajú podobný vzhľad ako 'iPhone' a 'HTC One'. Asus Padfone In
  • rozdiel medzi: Rozdiel medzi predstavivosťou a fantáziou

    Rozdiel medzi predstavivosťou a fantáziou

    Kľúčový rozdiel: Imaginácia je skúsenosť, ktorú má človek, keď sa zaoberá realitou, alebo ako sa zaoberajú realitou, zatiaľ čo fantázia je nereálnym vedľajším produktom tejto predstavivosti. Často je ľahké zamieňať predstavivosť a fantáziu za to isté, alebo dokonca podobné veci. Tieto sú však navzájom úpln
  • rozdiel medzi: Rozdiel medzi čiernou a jetovou čiernou

    Rozdiel medzi čiernou a jetovou čiernou

    Rozdiel kľúčov: Čierna je definovaná ako najtmavšia farba, ktorá vyplýva z absencie všetkých farieb alebo svetla. Jet čierna je odvodená z geologického materiálu a drahokamu, prúd. Farba čiernej farby je čierna alebo tmavo hnedá, ale môže obsahovať kovový lesk. Mnoho ľudí predpokladá, že čiernobiele sú aj farby, ale to nie je pravda; sú to odtiene. Všimnite si, že čierna sa p

Redakcia Choice

Rozdiel medzi balíčkami Windows 8 Pro a Pro Pack

Rozdiel kľúčov: Windows 8 Pro je podobný systému Windows 7 Professional a je určený pre nadšencov a firemných používateľov. Ponúka všetky funkcie systému Windows 8 spolu s ďalšími funkciami pre vlastníkov malých podnikov. Balík Microsoft 8 Pro Pack nie je oficiálne vydanie, ale balík na inováciu. Tento balík nemá žiadn