Galvenā atšķirība: XSS un CSRF ir divu veidu datoru drošības ievainojamības. XSS nozīmē “Cross-Site Scripting”. CSRF apzīmē Cross-Site Request Forgery. XSS sistēmā hakeris izmanto uzticību, ko lietotājs izmanto konkrētai tīmekļa vietnei. No otras puses, CSRF hakeris izmanto vietnes uzticību noteiktam lietotāja pārlūkam.
XSS nozīmē “Cross-Site Scripting”. Cross Site Scripting ir drošības izmantošana, kurā ļaunprātīgs hacker ievieto skriptus dinamiskā formā. Tagad to uzskata par visizplatītāko drošības ievainojamību, kas atrodama tīmekļa vietnēs. XSS sistēmā hacker ievada ļaunprātīgu klienta puses skriptu tīmekļa vietnē. Šis skripts tiek pievienots, lai cietušajam radītu zināmu neaizsargātību.
Uzbrucēji vai hakeri šim nolūkam izmanto JavaScript, VBScript, ActiveX, HTML vai Flash. Kad uzbrukums ir veiksmīgs, hakeris var kaitēt daudzos veidos. Piemēram, uzbrucējs var nolaupīt kontu vai pat mainīt lietotāja iestatījumus. Parasti XSS piemērs ir redzams, ja šim nolūkam tiek izmantota ļaunprātīga saite. Tiek veidota saite ar slēptu ļaunprātīgu kodu, un lietotājam tiek prasīts uz tā noklikšķināt. Ja lietotājs noklikšķina, ļaunprātīgais kods tiek izpildīts klienta tīmekļa pārlūkprogrammā.
Starpposmu skriptu uzbrukumus var plaši sadalīt divos veidos -
- Noturīgi - šāda veida neaizsargātības dēļ ļaunprātīgi dati tiek glabāti pastāvīgi datu bāzē, un vēlāk tos var piekļūt un tos pārvalda cietušie, nezinot par to.
- Nepārtraukts - šāda veida neaizsargātības dēļ ļaunprātīgas hacker sniegtās ziņas tiek izmantotas šajā konkrētajā gadījumā bez kavēšanās.
CSRF apzīmē Cross-Site Request Forgery. To sauc arī par viena klikšķa uzbrukumu vai sesiju. Tā izmanto mērķa vietnes uzticību lietotājam. Ļaunprātīgs uzbrukums ir veidots tā, lai lietotājs nosūtītu ļaunprātīgus pieprasījumus mērķa vietnei, nezinot par uzbrukumu. Uzbrucējs, kas izmanto CSRF, var veikt vairākus uzdevumus, piemēram, kādu saturu var ievietot ziņu dēĜ, krājumus var tirgot un pat e-karti var nosūtīt. Viens no visbiežāk izmantotajiem CSRF uzbrukuma veidiem ir izmantot HTML attēla tagu vai JavaScript attēla objektu.
Šāda veida neaizsargātība attiecas ne tikai uz pārlūkiem. Ļaunprātīgu skriptu var veikt arī ar Word dokumentu, Flash failu, filmu utt. Dažas no svarīgākajām CSRF funkcijām ietver:
- Cietušajam nav obligāti jāreģistrējas, jo tas ir atkarīgs no uzbrucēja nodoma.
- Uzbrucējs mērķa vietnei var ģenerēt vairākus pieprasījumus.
- Tas darbojas ļoti labi ar cita veida uzbrukumiem.
- Parasti uzbrucēja vietnes datus nevar nolasīt uzbrucējs, un tas kalpo kā ierobežojums CSRF.
XSS un CSRF salīdzinājums:
XSS | CSRF | |
Pilna forma | Skriptu veidošana starp vietnēm | Pieprasījuma viltošana pēc vietnes |
Definīcija | XSS sistēmā hakeris tīmekļa vietnē ievieto ļaunprātīgas klienta puses skriptu. Šis skripts tiek pievienots, lai cietušajam radītu zināmu neaizsargātību. | Tas izmanto mērķa vietnes uzticību lietotājam. Ļaunprātīgs uzbrukums ir veidots tā, lai lietotājs nosūtītu mērķa vietnei ļaunprātīgus pieprasījumus, nezinot par uzbrukumu. |
Atkarība | Patvaļīgu datu ievadīšana ar datiem, kas nav apstiprināti | Par pārlūkprogrammas funkcionalitāti un funkcijām, lai ielādētu un izpildītu uzbrukuma paketi |
Nepieciešama JavaScript | Jā | Nē |
Stāvoklis | Ļaunprātīga koda pieņemšana vietnēs | Ļaunprātīgs kods atrodas trešo personu vietnēs |
Neaizsargātība | Vietne, kas ir neaizsargāta pret XSS uzbrukumiem, ir pakļauta arī CSRF uzbrukumiem | Vietne, kas ir pilnībā aizsargāta no XSS uzbrukumu veidiem, visdrīzāk ir pakļauta CSRF uzbrukumiem. |