Klíčový rozdíl: XSS a CSRF jsou dva typy zranitelností zabezpečení počítače. XSS znamená zkřížený skript. CSRF je zkratka pro padělání požadavků mezi stránkami. V XSS hacker využívá důvěru, kterou má uživatel k určitému webu. Na druhou stranu, v CSRF hacker využívá důvěryhodnost webových stránek pro určitý prohlížeč uživatele.
XSS znamená zkřížený skript. Cross Site Scripting je bezpečnostní exploit, ve kterém škodlivý hacker vkládá skripty do dynamické podoby. Nyní je považována za nejčastější chybu zabezpečení, která se nachází na webových stránkách. Ve verzi XSS hacker injektuje skript na straně klienta na webové stránky. Tento skript je přidán, aby způsobil nějakou formu zranitelnosti vůči oběti.
Útočníci nebo hackeři k tomuto účelu používají JavaScript, VBScript, ActiveX, HTML nebo Flash. Jakmile je útok úspěšný, hacker může způsobit škody mnoha způsoby. Například útočník může útočit na účet nebo dokonce změnit nastavení uživatele. Obvyklý příklad XSS lze vidět tam, kde se k tomuto účelu používá nebezpečné spojení. Je vytvořen odkaz obsahující skrytý škodlivý kód a uživatel je požádán, aby na něj klikl. Pokud uživatel klikne na něj, škodlivý kód se spustí v klientském webovém prohlížeči.
Skriptovací útoky mezi lokalitami lze obecně rozdělit do dvou typů -
- Trvalé - v tomto typu chyby zabezpečení jsou škodlivé údaje uloženy natrvalo v databázi a jsou následně přístupné a provozovány oběťmi, aniž by o tom byly známy.
- Nepřetržitý - v tomto typu chyby zabezpečení se údaje, které poskytuje škodlivý hacker, používají v této konkrétní instanci bez prodlení.
CSRF je zkratka pro padělání požadavků mezi stránkami. Je také známý jako útok jedním kliknutím nebo jízda na relaci. Využívá důvěryhodnosti dané webové stránky pro uživatele. Škodlivý útok je navržen tak, aby uživatel poslal škodlivé požadavky na cílové webové stránky bez znalosti útoku. Řada úkolů může provádět útočník, který používá CSRF, například může být nějaký obsah zaslán do vývěsky, mohou být obchodovány akcie a může být poslána elektronická karta. Jedním z nejběžnějších způsobů útoku CSRF je použití značky HTML nebo objekt obrázku JavaScript.
Tento druh zranitelnosti není omezen pouze na prohlížeče. Škodlivé skriptování může být také provedeno pomocí slovního dokumentu, souboru Flash, filmu atd. Některé důležité funkce CSRF zahrnují -
- Není nutné, aby se oběť přihlašovala, protože záleží na úmyslu útočníka.
- Útočník může generovat více požadavků na cílové stránky.
- Funguje velmi dobře s jinými typy útoků.
- Obecně nelze útočníkovi číst data z napadeného webu, což slouží jako omezení pro CSRF.
Srovnání mezi XSS a CSRF:
XSS | CSRF | |
Plný formulář | Scriptování mezi stránkami | Falešný požadavek mezi stránkami |
Definice | V XSS hacker injektuje skript na straně nebezpečného klienta na webových stránkách. Tento skript je přidán, aby způsobil nějakou formu zranitelnosti vůči oběti. | Využívá důvěryhodnosti dané webové stránky pro uživatele. Škodlivý útok je navržen tak, aby uživatel poslal škodlivé požadavky na cílovou webovou stránku bez znalosti útoku. |
Závislost | Injekce libovolných dat pomocí neověřených dat | Funkce a funkce prohlížeče pro načtení a spuštění balíčku útoků |
Požadavek na JavaScript | Ano | Ne |
Stav | Přijetí škodlivého kódu stránkami | Škodlivý kód je umístěn na stránkách třetích stran |
Zranitelnost | Stránky, které jsou citlivé na útoky XSS, jsou rovněž citlivé na útoky CSRF | Stránky, které jsou zcela chráněny proti typům útoků typu XSS, jsou stále s největší pravděpodobností náchylné k útokům CSRF. |