A legfontosabb különbség: az XSS és a CSRF kétféle biztonsági biztonsági rés. Az XSS a Cross-Site Scripting. A CSRF a Cross-Site Request Forgery jelentését jelenti. Az XSS-ben a hacker kihasználja azt a bizalmat, amelyet a felhasználó egy adott webhelyre bízhat. Másrészt a CSRF-ben a hacker kihasználja a weboldal bizalmát egy adott felhasználó böngészőjére.
Az XSS a Cross-Site Scripting. A Cross Site Scripting egy olyan biztonsági kihasználás, amelyben egy rosszindulatú hacker beírja a parancsfájlokat egy dinamikus formába. Ez a webhelyekben található leggyakoribb biztonsági résnek tekinthető. Az XSS-ben a hacker rosszindulatú ügyféloldali parancsfájlt futtat egy webhelyre. Ez a parancsfájl hozzáadódik, hogy valamilyen sérülékenységet okozzon az áldozatnak.
Erre a célra támadók vagy hackerek használják a JavaScript, a VBScript, az ActiveX, a HTML vagy a Flash. Miután a támadás sikeres volt, a hacker sok szempontból kárt okozhat. Például a támadó eltérítheti a fiókot, vagy akár megváltoztathatja a felhasználó beállításait. Az XSS közös példája látható, hogy a rosszindulatú linket használják erre a célra. Létrehoz egy rejtett rosszindulatú kódot tartalmazó linket, és a felhasználónak rá kell kattintania. Ha a felhasználó rákattint, a rosszindulatú kód a kliens webböngészőjében kerül végrehajtásra.
A helyszíneken futó parancsfájl-támadások széles körben két típusra oszthatók:
- Állandó - Az ilyen típusú biztonsági résekben a rosszindulatú adatok tartósan tárolódnak az adatbázisban, és később az áldozatok számára hozzáférést biztosítanak, és nem tudják róla.
- Nem tartós - Az ilyen típusú biztonsági résekben a rosszindulatú hacker által szolgáltatott adatokat késedelem nélkül használják az adott példányban.
A CSRF a Cross-Site Request Forgery jelentését jelenti. Ez az úgynevezett egykattintásos támadás vagy ülésszak. Használja ki a célzott weboldal bizalmát a felhasználó felé. A rosszindulatú támadás oly módon van megtervezve, hogy a felhasználó rosszindulatú kéréseket küldjön a céloldalra anélkül, hogy tudná a támadást. A CSRF-et használó támadó számos feladatot elvégezhet, például néhány tartalmat egy üzenőfalba lehet elhelyezni, kereskedni lehet az állományokkal, és akár egy e-kártyát is küldhet. A CSRF-támadás egyik leggyakoribb módja egy HTML-képcímke vagy JavaScript-objektum használata.
Ez a sebezhetőség nem csak a böngészőkre korlátozódik. A rosszindulatú szkriptek egy Word-dokumentum, Flash-fájl, film stb. Segítségével is elvégezhetők.
- Nem kötelező, hogy az áldozat bejelentkezzen, mivel a támadó szándékától függ.
- A támadó több kérést generálhat a célhelyre.
- Rendkívül jól működik más típusú támadásokkal.
- Általában véve a támadó nem tudja elolvasni a támadó webhely adatait, és ez korlátozza a CSRF-et.
Az XSS és a CSRF összehasonlítása:
XSS | CSRF | |
Teljes alak | Helyszíni szkriptek | Helyszíni kérés hamisítvány |
Meghatározás | Az XSS-ben a hacker rosszindulatú ügyféloldali parancsfájlt futtat egy webhelyen. Ez a parancsfájl hozzáadódik, hogy valamilyen sérülékenységet okozzon az áldozatnak. | Használja ki a célzott weboldal bizalmát a felhasználó felé. A rosszindulatú támadás oly módon lett megtervezve, hogy a felhasználó rosszindulatú kéréseket küldjön a céloldalra anélkül, hogy tudná a támadást. |
Függőség | Önkényes adatok befecskendezése nem validált adatokkal | A böngésző funkciói és funkciói a támadási csomag lekéréséhez és végrehajtásához |
A JavaScript követelménye | Igen | Nem |
Feltétel | A rosszindulatú kódok elfogadása a webhelyeken | A rosszindulatú kód harmadik fél webhelyén található |
Sebezhetőség | Az XSS-támadásokkal szemben érzékeny webhely a CSRF-támadásokra is érzékeny | Az XSS támadásoktól teljesen védett webhely még mindig valószínűleg érzékeny a CSRF támadásokra. |
