Die belangrikste verskil tussen XSS en CSRF is dat, in XSS (of Cross Site Scripting), die werf die kwaadwillige kode aanvaar terwyl, in CSRF (of Cross Site Request Forgery), die kwaadwillige kode in die derde gestoor word partytjie webwerwe. Die XSS is 'n tipe rekenaarsekuriteitskwesbaarheid in webtoepassings wat aanvallers in staat stel om skrifte aan die kliëntkant in te spuit in webblaaie wat deur ander gebruikers bekyk word. Aan die ander kant is CSRF 'n tipe kwaadwillige aktiwiteit van 'n kuberkraker of 'n webwerf wat ongemagtigde opdragte oordra wat die gebruiker se webtoepassing sal vertrou.
Webontwikkeling is die proses om 'n webwerf volgens die kliëntvereistes te programmeer. Elke organisasie hou webwerwe. Hierdie webwerwe help om die besigheid te verbeter en om wins te kry. Terselfdertyd kan daar bedreigings wees wat die funksionaliteit van die webwerf beïnvloed. Twee van hulle is XSS en CSRF.
Wat is XSS?
XSS is 'n kode-inspuiting-aanval wat kwaadwillige kode in die webwerf inspuit. Dit is een van die mees algemene webwerf-aanvalle. Dit kan die webwerf beïnvloed en kan ook die gebruikers van daardie webwerf beïnvloed. Met ander woorde, wanneer daar 'n XSS-aanval op die webwerf is, sal daardie kode in die gebruikers van daardie webwerf deur die blaaier uitgevoer word.
Figuur 01: XSS-aanval
Een algemene taal om kwaadwillige kode vir XSS te skryf, is JavaScript. XSS kan gebruiker se koekies steel. Dit kan die webblad verander om anders te lyk en op te tree. Verder kan dit wanware-aflaaie vertoon en gebruiker se instellings verander.
Daar is twee tipes XSS-aanvalle. Hulle word aanhoudend en nie-aanhoudend genoem. In aanhoudende XSS-aanval word die kwaadwillige kode in die webwerfdatabasis gestoor. Die gebruiker kan toegang daartoe kry sonder enige kennis. Die nie-aanhoudende XSS-aanval word ook Reflected XSS genoem. Dit stuur die kwaadwillige skrif as 'n HTTP-versoek. Dit is die hoof twee tipes in XSS.
Wat is CSRF?
In 'n webwerf is daar 'n kliëntkant en die bedienerkant. Die webblaaie, vorms is aan die kliëntkant. Die bedienerkant voer 'n aksie uit wanneer die gebruiker optree. Bedienerkant kry ook versoeke van ander webwerwe.
CSRF-aanval mislei die gebruiker om met 'n bladsy of 'n skrif op 'n derdeparty-werf te kommunikeer. Dit sal 'n kwaadwillige versoek na die gebruiker se webwerf genereer. Maar die bediener neem aan dat dit 'n versoek van 'n gemagtigde webwerf is. Wanneer die gebruiker dit aanvaar, kan 'n aanvaller beheer neem oor die gebruik van die data wat in die versoek gestuur is.
Een voorbeeld is soos volg.'n Gebruiker meld by sy bankrekening aan. Die bank voorsien hom van 'n sessietoken. 'n Kuberkraker kan die gebruiker mislei om op 'n vals skakel te klik wat na die bank wys. Wanneer die gebruiker op die skakel klik, gebruik dit die vorige sessie-token. Dan word die hacker se versoek uitgevoer, en die gebruikersrekening word gekap. Hy kan geld uit sy rekening oorplaas. Die versoek aan die bank is vervals aangesien dit dieselfde sessietoken van die gebruiker gebruik. Oor die algemeen is dit belangrik om te weet hoe om die webwerf teen CSRF-aanval in webontwikkeling te beskerm.
Wat is die verskil tussen XSS en CSRF?
XSS staan vir Cross Site Scripting, en CSRF staan vir Cross Site Request Forgery. XSS is 'n tipe rekenaarsekuriteitskwesbaarheid in webtoepassings wat aanvallers in staat stel om skrifte aan die kliëntkant in te spuit in webblaaie wat deur ander gebruikers bekyk word. CSRF is 'n tipe kwaadwillige aktiwiteit van 'n kuberkraker of 'n webwerf wat ongemagtigde opdragte oordra wat die gebruiker se webtoepassing sal vertrou. XSS vereis ook JavaScript om die kwaadwillige kode te skryf terwyl die CSRF nie JavaScript benodig nie.
Verder, in XSS, aanvaar die webwerf die kwaadwillige kode, terwyl die kwaadwillige kode in CSRF op die derdeparty-webwerwe gestoor word. Dit is die belangrikste verskil tussen XSS en CSRF. Gewoonlik is 'n webwerf wat kwesbaar is vir XSS-aanval ook kwesbaar vir die CSRF-aanval. 'n Werf wat beskerming teen XSS het, kan egter steeds kwesbaar wees vir CSRF-aanvalle.
Opsomming – XSS vs CSRF
XSS en CSRF is twee tipes aanvalle op 'n webwerf. XSS staan vir Cross Site Scripting terwyl CSRF staan vir Cross Site Request Forgery. Die verskil tussen XSS en CSRF is dat, in XSS, die werf die kwaadwillige kode aanvaar terwyl, in CSRF, die kwaadwillige kode op die derdeparty-werwe gestoor word.
