Avainero XSS:n ja CSRF:n välillä on, että XSS:ssä (tai Cross Site Scriptingissa) sivusto hyväksyy haitallisen koodin, kun taas CSRF:ssä (tai Cross Site Request Forgeryssa) haitallinen koodi tallennetaan kolmanteen juhlien sivustot. XSS on verkkosovellusten tietoturvahaavoittuvuus, jonka avulla hyökkääjät voivat lisätä asiakaspuolen komentosarjoja muiden käyttäjien katselemille verkkosivuille. Toisa alta CSRF on eräänlainen hakkerin tai verkkosivuston haitallinen toiminta, joka lähettää luvattomia komentoja, joihin käyttäjän verkkosovellus luottaa.
Web-kehitys on prosessi, jossa verkkosivusto ohjelmoidaan asiakkaan vaatimusten mukaisesti. Jokainen organisaatio ylläpitää verkkosivustoja. Nämä sivustot auttavat parantamaan liiketoimintaa ja saamaan voittoa. Samalla voi esiintyä uhkia, jotka vaikuttavat verkkosivuston toimivuuteen. Kaksi niistä on XSS ja CSRF.
Mikä on XSS?
XSS on koodin lisäyshyökkäys, joka ruiskuttaa haitallista koodia verkkosivustolle. Se on yksi yleisimmistä sivustohyökkäyksistä. Se voi vaikuttaa verkkosivustoon ja voi myös vaikuttaa kyseisen verkkosivuston käyttäjiin. Toisin sanoen, kun verkkosivustolla on XSS-hyökkäys, selain suorittaa kyseisen koodin kyseisen verkkosivuston käyttäjille.
Kuva 01: XSS Attack
Yksi yleinen kieli haitallisen koodin kirjoittamiseen XSS:lle on JavaScript. XSS voi varastaa käyttäjän evästeitä. Se voi muokata verkkosivua näyttämään ja käyttäytymään eri tavalla. Lisäksi se voi näyttää haittaohjelmien lataukset ja muuttaa käyttäjän asetuksia.
XSS-hyökkäyksiä on kahdenlaisia. Niitä kutsutaan pysyviksi ja ei-pysyviksi. Jatkuvassa XSS-hyökkäyksessä haitallinen koodi tallennetaan verkkosivuston tietokantaan. Käyttäjä voi käyttää sitä tietämättään. Ei-pysyvää XSS-hyökkäystä kutsutaan myös nimellä Reflected XSS. Se lähettää haitallisen komentosarjan HTTP-pyynnönä. Nämä ovat XSS:n kaksi päätyyppiä.
Mikä on CSRF?
Verkkosivustolla on asiakas- ja palvelinpuoli. Verkkosivut, lomakkeet ovat asiakkaan puolella. Palvelinpuoli suorittaa toiminnon, kun käyttäjä toimii. Palvelinpuoli saa pyyntöjä myös muilta sivustoilta.
CSRF-hyökkäys huijaa käyttäjää olemaan vuorovaikutuksessa kolmannen osapuolen sivuston sivun tai komentosarjan kanssa. Se luo haitallisen pyynnön käyttäjän sivustolle. Mutta palvelin olettaa, että se on pyyntö v altuutetulta verkkosivustolta. Kun käyttäjä hyväksyy sen, hyökkääjä voi ottaa hallinnan pyynnössä lähetetyillä tiedoilla.
Yksi esimerkki on seuraava. Käyttäjä kirjautuu pankkitililleen. Pankki tarjoaa hänelle istuntotunnuksen. Hakkeri voi huijata käyttäjää napsauttamaan väärennettyä linkkiä, joka osoittaa pankkiin. Kun käyttäjä napsauttaa linkkiä, se käyttää edellistä istuntotunnusta. Sitten hakkerin pyyntö suoritetaan ja käyttäjätili hakkeroidaan. Hän voi siirtää rahaa tililtään. Pyyntö pankille on väärennetty, koska se käyttää samaa käyttäjän istuntotunnusta. Kaiken kaikkiaan on tärkeää tietää, miten verkkosivusto suojataan CSRF-hyökkäyksiltä verkkokehityksessä.
Mitä eroa on XSS:n ja CSRF:n välillä?
XSS tarkoittaa Cross Site Scripting ja CSRF tarkoittaa Cross Site Request Forgery. XSS on verkkosovellusten tietoturvahaavoittuvuus, jonka avulla hyökkääjät voivat lisätä asiakaspuolen komentosarjoja muiden käyttäjien katselemille verkkosivuille. CSRF on eräänlainen hakkerin tai verkkosivuston haitallinen toiminta, joka lähettää luvattomia komentoja, joihin käyttäjän verkkosovellus luottaa. Lisäksi XSS vaatii JavaScriptin kirjoittaakseen haitallisen koodin, kun taas CSRF ei vaadi JavaScriptiä.
Lisäksi XSS:ssä sivusto hyväksyy haitallisen koodin, kun taas CSRF:ssä haitallinen koodi tallennetaan kolmannen osapuolen sivustoille. Tämä on tärkein ero XSS:n ja CSRF:n välillä. Yleensä sivusto, joka on alttiina XSS-hyökkäykselle, on myös alttiina CSRF-hyökkäykselle. Sivusto, joka on suojattu XSS:ltä, voi kuitenkin silti olla alttiina CSRF-hyökkäyksille.
Yhteenveto – XSS vs CSRF
XSS ja CSRF ovat kahden tyyppisiä hyökkäyksiä verkkosivustoon. XSS tarkoittaa Cross Site Scriptingia, kun taas CSRF tarkoittaa Cross Site Request Forgery. Ero XSS:n ja CSRF:n välillä on se, että XSS:ssä sivusto hyväksyy haitallisen koodin, kun taas CSRF:ssä haitallinen koodi tallennetaan kolmannen osapuolen sivustoille.
