Nøkkelforskjellen mellom XSS og CSRF er at i XSS (eller Cross Site Scripting) aksepterer nettstedet den skadelige koden, mens den skadelige koden i CSRF (eller Cross Site Request Forgery) lagres i den tredje partisider. XSS er en type datasikkerhetssårbarhet i nettapplikasjoner som gjør det mulig for angripere å injisere skript på klientsiden på nettsider som vises av andre brukere. På den annen side er CSRF en type ondsinnet aktivitet av en hacker eller et nettsted som overfører uautoriserte kommandoer som brukerens nettapplikasjon vil stole på.
Nettutvikling er prosessen med å programmere et nettsted i henhold til kundens krav. Hver organisasjon vedlikeholder nettsider. Disse nettsidene bidrar til å forbedre virksomheten og oppnå fortjeneste. Samtidig kan det være trusler som påvirker funksjonaliteten til nettsiden. To av dem er XSS og CSRF.
Hva er XSS?
XSS er et kodeinjeksjonsangrep som injiserer ondsinnet kode på nettstedet. Det er et av de vanligste nettstedangrepene. Det kan påvirke nettstedet og kan også påvirke brukerne av det nettstedet. Med andre ord, når det er et XSS-angrep på nettstedet, vil den koden kjøres i brukerne av den nettsiden av nettleseren.
Figur 01: XSS Attack
Et vanlig språk for å skrive ondsinnet kode for XSS er JavaScript. XSS kan stjele brukerens informasjonskapsler. Det kan endre nettsiden til å se og oppføre seg annerledes. I tillegg kan den vise nedlastinger av skadelig programvare og endre brukerens innstillinger.
Det finnes to typer XSS-angrep. De kalles vedvarende og ikke-vedvarende. Ved vedvarende XSS-angrep lagres den skadelige koden i nettstedets database. Brukeren kan få tilgang til den uten kunnskap. Det ikke-vedvarende XSS-angrepet kalles også Reflected XSS. Den sender det skadelige skriptet som en HTTP-forespørsel. Dette er de to hovedtypene i XSS.
Hva er CSRF?
På et nettsted er det en klientside og serverside. Nettsidene, skjemaene er på klientsiden. Serversiden utfører en handling når brukeren handler. Serversiden mottar også forespørsler fra andre nettsteder.
CSRF-angrep lurer brukeren til å samhandle med en side eller et skript på en tredjepartsside. Det vil generere en ondsinnet forespørsel til brukerens nettsted. Men serveren antar at det er en forespørsel fra et autorisert nettsted. Når brukeren godtar det, kan en angriper ta kontroll over bruken av dataene som sendes i forespørselen.
Et eksempel er som følger. En bruker logger på bankkontoen sin. Banken gir ham et økttoken. En hacker kan lure brukeren til å klikke på en falsk lenke som peker til banken. Når brukeren klikker på koblingen, bruker den forrige økttoken. Deretter utføres hackerens forespørsel, og brukerkontoen blir hacket. Han kan overføre penger fra kontoen sin. Forespørselen til banken er forfalsket ettersom den bruker samme økttoken til brukeren. Tot alt sett er det viktig å vite hvordan du beskytter nettstedet mot CSRF-angrep i nettutvikling.
Hva er forskjellen mellom XSS og CSRF?
XSS står for Cross Site Scripting, og CSRF står for Cross Site Request Forgery. XSS er en type datasikkerhetssårbarhet i nettapplikasjoner som gjør det mulig for angripere å injisere skript på klientsiden på nettsider som vises av andre brukere. CSRF er en type ondsinnet aktivitet av en hacker eller et nettsted som overfører uautoriserte kommandoer som brukerens nettapplikasjon vil stole på. XSS krever også JavaScript for å skrive den skadelige koden mens CSRF ikke krever JavaScript.
I tillegg aksepterer nettstedet den skadelige koden i XSS, mens den skadelige koden i CSRF lagres på tredjepartssidene. Dette er hovedforskjellen mellom XSS og CSRF. Vanligvis er et nettsted som er sårbart for XSS-angrep også sårbart for CSRF-angrepet. Imidlertid kan et nettsted som har beskyttelse mot XSS fortsatt være sårbart for CSRF-angrep.
Sammendrag – XSS vs CSRF
XSS og CSRF er to typer angrep på et nettsted. XSS står for Cross Site Scripting mens CSRF står for Cross Site Request Forgery. Forskjellen mellom XSS og CSRF er at i XSS aksepterer nettstedet den skadelige koden, mens den skadelige koden lagres på tredjepartsnettstedene i CSRF.