Pagrindinis skirtumas tarp XSS ir CSRF yra tas, kad naudojant XSS (arba Cross Site Scripting) svetainė priima kenkėjišką kodą, o naudojant CSRF (arba Cross Site Request Forgery) kenkėjiškas kodas saugomas trečiajame vakarėlių svetainės. XSS yra kompiuterio saugos pažeidžiamumas žiniatinklio programose, leidžiantis užpuolikams įterpti kliento scenarijus į kitų vartotojų peržiūrėtus tinklalapius. Kita vertus, CSRF yra kenkėjiškos įsilaužėlių ar svetainės, perduodančios neleistinas komandas, kuriomis naudotojo žiniatinklio programa pasitikės, rūšis.
Žiniatinklio kūrimas – tai svetainės programavimo procesas pagal kliento reikalavimus. Kiekviena organizacija tvarko svetaines. Šios svetainės padeda tobulinti verslą ir gauti pelno. Tuo pačiu metu gali kilti grėsmių, kurios turi įtakos svetainės funkcionalumui. Du iš jų yra XSS ir CSRF.
Kas yra XSS?
XSS yra kodo įpurškimo ataka, kurios metu į svetainę įterpiamas kenkėjiškas kodas. Tai viena iš labiausiai paplitusių svetainių atakų. Tai gali turėti įtakos svetainei ir gali turėti įtakos tos svetainės naudotojams. Kitaip tariant, kai svetainėje įvyksta XSS ataka, naršyklė tą kodą vykdys tos svetainės naudotojams.
01 pav.: XSS ataka
Viena įprastų XSS kenkėjiškų kodų rašymo kalba yra „JavaScript“. XSS gali pavogti vartotojo slapukus. Jis gali pakeisti tinklalapį, kad jis atrodytų ir veiktų kitaip. Be to, jis gali rodyti kenkėjiškų programų atsisiuntimus ir pakeisti vartotojo nustatymus.
Yra dviejų tipų XSS atakos. Jie vadinami nuolatiniais ir nenuolatiniais. Nuolatinės XSS atakos metu kenkėjiškas kodas yra saugomas svetainės duomenų bazėje. Vartotojas gali prieiti prie jo be jokių žinių. Nenutrūkstama XSS ataka taip pat vadinama atspindėta XSS. Jis siunčia kenkėjišką scenarijų kaip HTTP užklausą. Tai yra du pagrindiniai XSS tipai.
Kas yra CSRF?
Svetainėje yra kliento ir serverio pusės. Tinklalapiai, formos yra kliento pusėje. Serverio pusė atlieka veiksmą, kai vartotojas veikia. Serverio pusė taip pat gauna užklausas iš kitų svetainių.
CSRF ataka apgauna vartotoją, kad jis sąveikautų su puslapiu arba scenarijumi trečiosios šalies svetainėje. Tai sugeneruos kenkėjišką užklausą vartotojo svetainėje. Tačiau serveris daro prielaidą, kad tai yra užklausa iš įgaliotos svetainės. Kai vartotojas jį priima, užpuolikas gali perimti kontrolę naudodamas užklausoje atsiųstus duomenis.
Vienas pavyzdys yra toks. Vartotojas prisijungia prie savo banko sąskaitos. Bankas jam suteikia seanso žetoną. Įsilaužėlis gali apgauti vartotoją, kad spustelėtų netikrą nuorodą, nukreipiančią į banką. Kai vartotojas spusteli nuorodą, jis naudoja ankstesnio seanso prieigos raktą. Tada įsilaužėlio užklausa įvykdoma, o vartotojo paskyra yra nulaužta. Jis gali pervesti pinigus iš savo sąskaitos. Užklausa bankui yra suklastota, nes jame naudojamas tas pats vartotojo seanso prieigos raktas. Apskritai, kuriant žiniatinklio svetainę svarbu žinoti, kaip apsaugoti svetainę nuo CSRF atakų.
Kuo skiriasi XSS ir CSRF?
XSS reiškia Cross Site Scripting, o CSRF – Cross Site Request Forgery. XSS yra kompiuterio saugos pažeidžiamumas žiniatinklio programose, leidžiantis užpuolikams įterpti kliento scenarijus į kitų vartotojų peržiūrėtus tinklalapius. CSRF yra kenkėjiškos įsilaužėlių ar svetainės, perduodančios neteisėtas komandas, kuriomis naudotojo žiniatinklio programa pasitikės, rūšis. Be to, norint parašyti kenkėjišką kodą, XSS reikalauja JavaScript, o CSRF nereikalauja JavaScript.
Be to, naudojant XSS, svetainė priima kenkėjišką kodą, o naudojant CSRF kenkėjiškas kodas saugomas trečiųjų šalių svetainėse. Tai yra pagrindinis skirtumas tarp XSS ir CSRF. Paprastai svetainė, kuri yra pažeidžiama XSS atakos, taip pat yra pažeidžiama CSRF atakai. Tačiau svetainė, kuri turi apsaugą nuo XSS, vis tiek gali būti pažeidžiama CSRF atakų.
Santrauka – XSS vs CSRF
XSS ir CSRF yra dviejų tipų atakos prieš svetainę. XSS reiškia Cross Site Scripting, o CSRF reiškia Cross Site Request Forgery. Skirtumas tarp XSS ir CSRF yra tas, kad naudojant XSS svetainė priima kenkėjišką kodą, o naudojant CSRF kenkėjiškas kodas saugomas trečiųjų šalių svetainėse.
