Erinevus XSS ja CSRF vahel

võtme erinevus XSS ja CSRF vahel on see, XSS-is (või saidiülese skriptimise korral) võtab sait vastu pahatahtliku koodi, CSRF-is (või saidiülese päringu võltsingus) aga salvestatakse pahatahtlik kood kolmandate osapoolte saitidel. XSS on teatud tüüpi veebirakenduste arvuti turvaauk, mis võimaldab ründajatel süstida kliendi poolt skripte teiste kasutajate vaadatud veebilehtedele. Teisest küljest on CSRF häkkerite või veebisaitide pahatahtliku tegevuse tüüp, mis edastab volitamata käske, mida kasutaja veebirakendus usaldab.

Veebiarendus on veebisaidi programmeerimine vastavalt kliendi vajadustele. Iga organisatsioon haldab veebisaite. Need veebisaidid aitavad äri parendada ja kasumit teenida. Samal ajal võib esineda ohte, mis mõjutavad veebisaidi funktsionaalsust. Neist kaks on XSS ja CSRF.

SISU

1. Ülevaade ja peamised erinevused
2. Mis on XSS
3. Mis on CSRF?
4. Kõrvuti võrdlus - XSS vs CSRF tabelina
5. Kokkuvõte

Mis on XSS?

XSS on koodisüstimise rünnak, mis süstib veebisaidile pahatahtlikku koodi. See on üks levinumaid veebisaitide rünnakuid. See võib mõjutada veebisaiti ja ka selle veebisaidi kasutajaid. Teisisõnu, kui veebisaidil on XSS-rünnak, käivitab see kood selle veebisaidi kasutajates brauseri.

Joonis 01: XSS rünnak

Üks levinud keeli XSS-i pahatahtliku koodi kirjutamiseks on JavaScript. XSS võib varastada kasutaja küpsiseid. Selle abil saab veebilehte teisiti vaadata ja käituda. Lisaks saab see kuvada pahavara allalaadimisi ja muuta kasutaja seadeid.

XSS-rünnakuid on kahte tüüpi. Neid nimetatakse püsivateks ja püsimatuteks. Sisse püsiv XSS-rünnak, pahatahtlik kood salvestatakse veebisaidi andmebaasi. Kasutaja pääseb sellele juurde teadmata. mittepüsiv XSS-rünnak nimetatakse ka Peegeldatud XSS. See saadab pahatahtliku skripti HTTP-päringuna. Need on XSS-i kaks peamist tüüpi.

Mis on CSRF??

Veebisaidil on kliendi- ja serveripool. Veebilehed, vormid asuvad kliendi poolel. Serveripoolne toiming toimub siis, kui kasutaja tegutseb. Serveripool saab taotlusi ka teistelt veebisaitidelt.

CSRF-i rünnak laseb kasutajal suhelda lehe või skriptiga kolmanda osapoole saidil. See genereerib kasutaja saidile pahatahtliku taotluse. Kuid server eeldab, et see on volitatud veebisaidi taotlus. Kui kasutaja selle aktsepteerib, saab ründaja kontrolli saada päringus saadetud andmete abil.

Üks näide on järgmine. Kasutaja logib sisse oma pangakontole. Pank annab talle istungilogi. Häkker võib kasutajat petta, et ta klõpsaks võltsitud lingile, mis osutab pangale. Kui kasutaja lingil klõpsab, kasutab ta eelmist seansi luba. Seejärel täidetakse häkkerite taotlus ja hävitatakse kasutajakonto. Ta saab oma kontolt raha üle kanda. Pangale esitatud taotlus on võltsitud, kuna see kasutab sama kasutaja sessiooniluba. Üldiselt on veebiarenduses oluline teada, kuidas kaitsta veebisaiti CSRF-i rünnaku eest.

Mis vahe on XSS-i ja CSRF-i vahel??

XSS tähistab saidiülest skriptimist ja CSRF tähistab saidiülest skriptimist. XSS on veebirakenduste arvutiturbe haavatavuse tüüp, mis võimaldab ründajatel süstida kliendi poolt skripte teiste kasutajate vaadatud veebilehtedele. CSRF on häkkerite või veebisaitide pahatahtlik tegevus, mis edastab volitamata käske, mida kasutaja veebirakendus usaldab. Samuti nõuab XSS pahatahtliku koodi kirjutamiseks JavaScripti, CSRF aga JavaScripti ei vaja.

Veelgi enam, XSS-is aktsepteerib sait pahatahtlikku koodi, CSRF-is aga salvestatakse pahatahtlik kood kolmandate osapoolte saitidele. See on peamine erinevus XSS ja CSRF vahel. Tavaliselt on XSS-rünnaku suhtes haavatav sait ka CSRF-i rünnaku suhtes haavatav. XSS-i eest kaitstud sait võib siiski olla CSRF-i rünnakute suhtes haavatav.

Kokkuvõte - XSS vs CSRF

XSS ja CSRF on kahte tüüpi rünnakud veebisaidile. XSS tähistab saidiülest skriptimist, CSRF tähistab saidiülest skriptimist. Erinevus XSS-i ja CSRF-i vahel on see, et XSS-is aktsepteerib sait pahatahtlikku koodi, samas kui CSRF-is hoitakse pahatahtlikku koodi kolmandate osapoolte saitidel.

Viide:

1.DrapsTV. XSSi õpetus nr 2 - püsimatud skriptid (peegeldatud XSS), DrapsTV, 23. jaanuar 2015. Saadaval siin  
2.Mis on CSRF ?, Hacksplaining, 4. märts 2017. Saadaval siin 
3.DrapsTV. XSSi juhend nr 3 - püsivad skriptid, DrapsTV, 26. jaanuar 2015. Saadaval siin
4.DrapsTV. XSS-i õpetus nr 1 - Mis on saidiülene skriptimine ?, DrapsTV, 22. jaanuar 2015. Saadaval siin  

Pilt viisakalt:

1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) Flickri kaudu