Keskeinen ero: XSS ja CSRF ovat kahdenlaisia tietoturvaheikkoja. XSS tarkoittaa Cross-Site Scriptingia. CSRF tarkoittaa Cross-Site Request Forgerya. XSS: ssä hakkeri hyödyntää käyttäjän luottamusta tiettyyn verkkosivustoon. Toisaalta CSRF: ssä hakkeri hyödyntää sivuston luottamusta tietyn käyttäjän selaimeen.
XSS tarkoittaa Cross-Site Scriptingia. Cross Site Scripting on turvakäyttö, jossa haittaohjelma hakkeri syöttää skriptejä dynaamiseen muotoon. Sitä pidetään nyt yleisin tietoturvaheikkous, joka löytyy verkkosivuilta. XSS: ssä hakkeri pistää haitallisen asiakaspuolen komentosarjan verkkosivustoon. Tämä komentosarja lisätään aiheuttamaan jonkinlaista haavoittuvuutta uhreille.
Hyökkääjät tai hakkerit käyttävät tätä varten JavaScript, VBScript, ActiveX, HTML tai Flash. Kun hyökkäys on onnistunut, hakkeri voi aiheuttaa haittaa monin tavoin. Hyökkääjä voi esimerkiksi kaapata tilin tai muuttaa käyttäjän asetuksia. Yleinen esimerkki XSS: stä on nähtävissä, jos tähän tarkoitukseen käytetään haitallista linkkiä. Luodaan linkki, jossa on piilotettu haittaohjelma, ja käyttäjää pyydetään napsauttamaan sitä. Jos käyttäjä napsauttaa sitä, haittaohjelman koodi suoritetaan asiakkaan verkkoselaimessa.
Sivustojen väliset komentosarjasyytteet voidaan jakaa laajasti kahteen tyyppiin -
- Pysyvä - Tämäntyyppisessä haavoittuvuudessa haittaohjelmat tallennetaan pysyvästi tietokantaan, ja uhrit pääsevät myöhemmin käyttämään niitä ja käyttävät niitä ilman, että he tuntevat sitä.
- Ei-pysyvä - Tämäntyyppisessä haavoittuvuudessa haittaohjelman hakijan toimittamia tietoja käytetään kyseisessä tilanteessa viipymättä.
CSRF tarkoittaa Cross-Site Request Forgerya. Sitä kutsutaan myös yhdellä napsautuksella tai hyökkäyksellä. Se hyödyntää kohdennettujen verkkosivustojen luottamusta käyttäjään. Haitallinen hyökkäys on suunniteltu siten, että käyttäjä lähettää haitallisia pyyntöjä kohdesivustolle tietämättä hyökkäyksestä. CSRF: ää käyttävä hyökkääjä voi suorittaa useita tehtäviä, esimerkiksi jotkin sisällöt voidaan lähettää viestilautaan, varastoja voidaan käydä kauppaa ja jopa sähköpostikortti voidaan lähettää. Yksi yleisimmistä tavoista suorittaa CSRF-hyökkäys on käyttää HTML-kuvalappua tai JavaScript-kuvaobjektia.
Tällainen haavoittuvuus ei rajoitu pelkästään selaimiin. Haitalliset komentosarjat voidaan tehdä myös Word-dokumentin, Flash-tiedoston, elokuvan jne. Avulla. Jotkin CSRF: n tärkeistä ominaisuuksista ovat -
- Uhrin ei ole pakko kirjautua sisään, koska se riippuu hyökkääjän tahdosta.
- Hyökkääjä voi luoda useita pyyntöjä kohdesivustolle.
- Se toimii erittäin hyvin muiden hyökkäysten kanssa.
- Hyökkääjä ei yleensä voi lukea hyökkäyksen kohteena olevaa sivustoa koskevia tietoja, ja tämä toimii rajoituksena CSRF: lle.
XSS: n ja CSRF: n vertailu:
XSS | CSRF | |
Täysi muoto | Sivustojen väliset komentosarjat | Sivuston pyynnön väärentäminen |
Määritelmä | XSS: ssä hakkeri pistää haitallisen asiakkaan puolen komentosarjan verkkosivustoon. Tämä komentosarja lisätään aiheuttamaan jonkinlaista haavoittuvuutta uhreille. | Se hyödyntää kohdennetun verkkosivuston luottamusta käyttäjään. Haitallinen hyökkäys on suunniteltu siten, että käyttäjä lähettää haitallisia pyyntöjä kohdesivustolle tuntematta hyökkäystä. |
riippuvuus | Mielivaltaisten tietojen injektointi ei-validoiduilla tiedoilla | Selaimen toiminnallisuudesta ja ominaisuuksista voit hakea ja suorittaa hyökkäyspaketin |
JavaScriptin vaatimus | Joo | Ei |
Kunto | Haitallisen koodin hyväksyminen sivustoilla | Haitallinen koodi sijaitsee kolmannen osapuolen sivustoissa |
alttius | Sivusto, joka on alttiina XSS-hyökkäyksille, on myös alttiina CSRF-hyökkäyksille | Sivusto, joka on täysin suojattu XSS-tyyppisiltä hyökkäyksiltä, on todennäköisesti todennäköisesti alttiina CSRF-hyökkäyksille. |