Huvudskillnad: XSS och CSRF är två typer av säkerhetsproblem i datorn. XSS står för Cross-Site Scripting. CSRF står för Cross-Site Request Forgery. I XSS utnyttjar hackaren det förtroende som en användare har för en viss webbplats. Å andra sidan utnyttjar hackern i CSRF en webbplatsens förtroende för en viss användares webbläsare.
XSS står för Cross-Site Scripting. Cross Site Scripting är ett säkerhetsutnyttjande där en skadlig hacker sätter in skript i en dynamisk form. Det betraktas nu som den vanligaste säkerhetsproblemet som finns på webbplatser. I XSS injicerar en hackare ett skadligt client-script till en webbplats. Detta skript läggs till för att orsaka någon form av sårbarhet för ett offer.
Attackers eller hackare använder JavaScript, VBScript, ActiveX, HTML eller Flash för detta ändamål. När attacken är framgångsrik kan hacker orsaka skada på många sätt. Till exempel kan angriparen kapa kontot eller ändra användarens inställningar. Ett vanligt exempel på XSS kan ses där en skadlig länk används för detta ändamål. En länk som innehåller en dold skadlig kod skapas, och användaren uppmanas att klicka på den. Om användaren klickar på den, utförs den skadliga koden på klientens webbläsare.
Cross-site scripting attacker kan i stor utsträckning delas in i två typer-
- Ihållande - I denna typ av sårbarhet lagras de skadliga data permanent i en databas och används senare och drivs av offren utan att ha någon kännedom om den.
- Icke-ihållande - I den här typen av sårbarhet används de data som tillhandahålls av den skadliga hackaren i det aktuella fallet utan förseningar.
CSRF står för Cross-Site Request Forgery. Det är också känt som ett klick attack eller session rida. Det utnyttjar den riktade webbplatsens förtroende för en användare. En skadlig attack är utformad på ett sådant sätt att en användare skickar skadliga förfrågningar till målwebbplatsen utan att ha kunskap om attacken. Ett antal uppgifter kan utföras av en angripare som använder sig av CSRF, till exempel kan ett visst innehåll skickas till en meddelandekort, aktier kan handlas och till och med ett e-kort kan skickas. Ett av de vanligaste sätten att utföra en CSRF-attack är att använda en HTML-bildtagg eller ett JavaScript-bildobjekt.
Denna typ av sårbarhet är inte bara begränsad till webbläsare. Den skadliga skriptningen kan också göras genom ett orddokument, Flash-fil, film etc. Några av de viktigaste funktionerna i CSRF inkluderar -
- Det är inte obligatoriskt för offret att vara inloggad eftersom det beror på angriparens avsikt.
- Flera förfrågningar kan genereras av angriparen till målsidan.
- Det fungerar extremt bra med andra typer av attacker.
- Vanligtvis kan inte data från den angripna webbplatsen läsas av angriparen och detta tjänar som en begränsning för CSRF.
Jämförelse mellan XSS och CSRF:
XSS | CSRF | |
Fulla formen | Cross-Site Scripting | Överföringsförfrågan |
Definition | I XSS injicerar en hacker ett skadligt klientsideskript på en webbplats. Detta skript läggs till för att orsaka någon form av sårbarhet för ett offer. | Det drar nytta av den riktade webbplatsens förtroende för en användare. En skadlig attack är utformad på ett sådant sätt att en användare skickar skadliga förfrågningar till målwebbplatsen utan att ha kunskap om attacken. |
Dependency | Injicering av godtyckliga data med data som inte valideras | På funktionaliteten och funktionerna i webbläsaren för att hämta och utföra attackerpaketet |
Krav på JavaScript | Ja | Nej |
Tillstånd | Accept av skadlig kod av webbplatser | Ondskad kod finns på webbplatser från tredje part |
Sårbarhet | En webbplats som är utsatt för XSS-attacker är också utsatt för CSRF-attacker | En webbplats som är helt skyddad mot XSS-typer av attacker är fortfarande troligt sårbar för CSRF-attacker. |