Ključna razlika: XSS i CSRF dvije su vrste računalnih sigurnosnih propusta. XSS je kratica za Cross-Site Scripting. CSRF je skraćenica za Krivotvorenje zahtjeva za više web-lokacija. U XSS-u haker iskorištava povjerenje koje korisnik ima za određenu web-lokaciju. S druge strane, u CSRF-u haker iskorištava povjerenje web-mjesta za određeni korisnički preglednik.
XSS je kratica za Cross-Site Scripting. Cross Site Scripting je sigurnosni podvig u kojem zlonamjerni haker ubacuje skripte u dinamički oblik. Sada se smatra najčešćom sigurnosnom ranjivošću koja se nalazi na web-lokacijama. U XSS-u haker ubacuje zlonamjerni skript na strani klijenta na web-mjesto. Ova skripta se dodaje da bi uzrokovala neki oblik ranjivosti za žrtvu.
Napadači ili hakeri koriste JavaScript, VBScript, ActiveX, HTML ili Flash za tu svrhu. Nakon što je napad uspješan, haker može na razne načine izazvati štetu. Naprimjer, napadač može oteti račun ili čak promijeniti korisničke postavke. Uobičajeni primjer XSS-a može se vidjeti gdje se za tu svrhu koristi zlonamjerni link. Stvara se veza koja sadrži skriveni zlonamjerni kôd, a od korisnika se traži da klikne na njega. Ako korisnik klikne na njega, zlonamjerni se kôd izvršava na klijentovom web-pregledniku.
Napadi skriptiranja na više mjesta mogu se široko podijeliti na dva tipa
- Trajna - U ovoj vrsti ranjivosti, zlonamjerni podaci trajno se pohranjuju u bazu podataka, a žrtve im kasnije pristupaju i upravljaju ih bez znanja o tome.
- Non-persistent - U ovoj vrsti ranjivosti, podaci koje pruža zlonamjerni haker koriste se na toj određenoj instanci bez odgode.
CSRF je skraćenica za Krivotvorenje zahtjeva za više web-lokacija. Također je poznat kao napad jednim klikom ili vožnja sesije. Iskorištava povjerenje ciljane web-lokacije korisnika. Zlonamjerni napad osmišljen je na takav način da korisnik šalje zlonamjerne zahtjeve ciljanoj web-lokaciji bez znanja o napadu. Određeni broj zadataka može izvršiti napadač koji koristi CSRF, na primjer, neki se sadržaji mogu objaviti na oglasnoj ploči, dionicama se može trgovati, pa čak i e-razglednica može biti poslana poštom. Jedan od najčešćih načina za izvršenje CSRF napada je korištenje HTML oznake slike ili JavaScript slike objekta.
Ova vrsta ranjivosti nije ograničena samo na preglednike. Zlonamjerno skriptiranje može se izvršiti i pomoću Wordovog dokumenta, Flash datoteke, filma itd. Neke od važnih značajki CSRF-a uključuju -
- Žrtva nije obvezna prijaviti se jer ovisi o namjeri napadača.
- Napadač može generirati više zahtjeva na ciljanu web-lokaciju.
- To radi iznimno dobro s drugim vrstama napada.
- Općenito, napadač ne može pročitati podatke s napadnutog mjesta i to služi kao ograničenje za CSRF.
Usporedba između XSS i CSRF:
XSS | CSRF | |
Cijela forma | Skriptiranje na više mjesta | Krivotvorina zahtjeva za više web-lokacija |
definicija | U XSS-u haker ubacuje zlonamjernu skriptu na web-mjesto. Ova skripta se dodaje da bi uzrokovala neki oblik ranjivosti za žrtvu. | Iskorištava povjerenje ciljanog web-mjesta u korisnika. Zlonamjerni napad osmišljen je na takav način da korisnik šalje zlonamjerne zahtjeve na ciljanu web-lokaciju bez znanja o napadu. |
zavisnost | Ubrizgavanje proizvoljnih podataka pomoću podataka koji nisu validirani | O funkcionalnosti i značajkama preglednika za dohvaćanje i izvršavanje paketa napada |
Zahtjev za JavaScript | Da | Ne |
Stanje | Prihvaćanje zlonamjernog koda na web-lokacijama | Zlonamjerni kôd nalazi se na web-lokacijama trećih strana |
Ranjivost | Web-lokacija koja je ranjiva na XSS napade također je ranjiva na CSRF napade | Stranica koja je potpuno zaštićena od XSS tipova napada je još uvijek najvjerojatnije ranjiva na CSRF napade. |