Ключовата разлика между XSS и CSRF е, че при XSS (или Cross Site Scripting) сайтът приема злонамерения код, докато при CSRF (или Cross Site Request Forgery) злонамереният код се съхранява в третата партийни сайтове. XSS е вид уязвимост на компютърната сигурност в уеб приложенията, която позволява на атакуващите да инжектират скриптове от страна на клиента в уеб страници, разглеждани от други потребители. От друга страна, CSRF е вид злонамерена дейност на хакер или уебсайт, който предава неоторизирани команди, на които уеб приложението на потребителя ще се довери.
Уеб разработката е процес на програмиране на уеб сайт според изискванията на клиента. Всяка организация поддържа уебсайтове. Тези уебсайтове помагат за подобряване на бизнеса и печалба. В същото време може да има заплахи, които засягат функционалността на уебсайта. Две от тях са XSS и CSRF.
Какво е XSS?
XSS е атака с инжектиране на код, която инжектира зловреден код в уебсайта. Това е една от най-често срещаните атаки към уеб сайтове. Това може да засегне уебсайта и може също да засегне потребителите на този уебсайт. С други думи, когато има XSS атака на уебсайта, този код ще се изпълни в потребителите на този уебсайт от браузъра.
Фигура 01: XSS атака
Един общ език за писане на зловреден код за XSS е JavaScript. XSS може да открадне бисквитките на потребителя. Той може да промени уеб страницата, за да изглежда и да се държи по различен начин. Освен това може да показва изтеглянията на зловреден софтуер и да променя настройките на потребителя.
Има два вида XSS атаки. Те се наричат персистиращи и неперсистиращи. При постоянна XSS атака злонамереният код се съхранява в базата данни на уебсайта. Потребителят може да получи достъп до него без никакво знание. Непостоянната XSS атака се нарича още Reflected XSS. Той изпраща злонамерения скрипт като HTTP заявка. Това са основните два типа в XSS.
Какво е CSRF?
В един уебсайт има клиентска и сървърна страна. Уеб страниците, формулярите са от страна на клиента. Страната на сървъра извършва действие, когато потребителят действа. Страната на сървъра получава заявки и от други уебсайтове.
CSRF атака подвежда потребителя да взаимодейства със страница или скрипт на сайт на трета страна. Той ще генерира злонамерена заявка към сайта на потребителя. Но сървърът предполага, че това е заявка от оторизиран уебсайт. Когато потребителят го приеме, нападателят може да поеме контрола върху използването на данните, изпратени в заявката.
Един пример е както следва. Потребител влиза в банковата си сметка. Банката му предоставя токен за сесия. Хакер може да подмами потребителя да кликне върху фалшива връзка, която сочи към банката. Когато потребителят щракне върху връзката, той използва токена на предишната сесия. След това заявката на хакера се изпълнява и потребителският акаунт е хакнат. Може да превежда пари от сметката си. Заявката към банката е подправена, тъй като използва същия сесиен токен на потребителя. Като цяло е важно да знаете как да защитите уебсайта от CSRF атака в уеб разработката.
Каква е разликата между XSS и CSRF?
XSS означава Cross Site Scripting, а CSRF означава Cross Site Request Forgery. XSS е вид уязвимост на компютърната сигурност в уеб приложенията, която позволява на атакуващите да инжектират скриптове от страна на клиента в уеб страници, разглеждани от други потребители. CSRF е вид злонамерена дейност на хакер или уебсайт, който предава неоторизирани команди, на които уеб приложението на потребителя ще се довери. Освен това XSS изисква JavaScript, за да напише злонамерения код, докато CSRF не изисква JavaScript.
Освен това, в XSS, сайтът приема злонамерения код, докато в CSRF, злонамереният код се съхранява в сайтове на трети страни. Това е основната разлика между XSS и CSRF. Обикновено сайт, който е уязвим на XSS атака, е уязвим и на CSRF атака. Въпреки това, сайт, който има защита от XSS, все още може да бъде уязвим на CSRF атаки.
Резюме – XSS срещу CSRF
XSS и CSRF са два вида атаки към уебсайт. XSS означава Cross Site Scripting, докато CSRF означава Cross Site Request Forgery. Разликата между XSS и CSRF е, че при XSS сайтът приема злонамерения код, докато при CSRF злонамереният код се съхранява в сайтове на трети страни.
