Kľúčový rozdiel medzi XSS a CSRF je v tom, že v XSS (alebo Cross Site Scripting) stránka akceptuje škodlivý kód, zatiaľ čo v CSRF (alebo Cross Site Request Forgery) je škodlivý kód uložený v tretej stránkové stránky. XSS je typ chyby zabezpečenia počítača vo webových aplikáciách, ktorý útočníkom umožňuje vkladať skripty na strane klienta do webových stránok, ktoré si prezerajú iní používatelia. Na druhej strane, CSRF je typ zákernej aktivity hackera alebo webovej stránky, ktorá prenáša neoprávnené príkazy, ktorým bude webová aplikácia používateľa dôverovať.
Vývoj webu je proces naprogramovania webovej stránky podľa požiadaviek klienta. Každá organizácia prevádzkuje webové stránky. Tieto webové stránky pomáhajú zlepšovať podnikanie a dosahovať zisk. Zároveň môžu existovať hrozby, ktoré ovplyvňujú funkčnosť webovej stránky. Dve z nich sú XSS a CSRF.
Čo je XSS?
XSS je útok na vloženie kódu, ktorý vloží na webovú stránku škodlivý kód. Ide o jeden z najbežnejších útokov na webové stránky. Môže to ovplyvniť webovú lokalitu a môže ovplyvniť aj používateľov tejto webovej lokality. Inými slovami, keď na webe dôjde k útoku XSS, tento kód sa spustí v používateľoch tohto webu prehliadačom.
Obrázok 01: XSS útok
Jedným spoločným jazykom na písanie škodlivého kódu pre XSS je JavaScript. XSS môže ukradnúť súbory cookie používateľa. Môže upraviť webovú stránku tak, aby vyzerala a správala sa inak. Okrem toho môže zobrazovať sťahovanie malvéru a meniť nastavenia používateľa.
Existujú dva typy útokov XSS. Nazývajú sa perzistentné a neperzistentné. Pri pretrvávajúcom XSS útoku je škodlivý kód uložený v databáze webovej stránky. Používateľ k nemu môže pristupovať bez akéhokoľvek vedomia. Nepretrvávajúci útok XSS sa tiež nazýva Reflected XSS. Odošle škodlivý skript ako požiadavku HTTP. Toto sú dva hlavné typy XSS.
Čo je CSRF?
Na webovej lokalite existuje strana klienta a strana servera. Webové stránky, formuláre sú na strane klienta. Strana servera vykoná akciu, keď používateľ koná. Strana servera dostáva požiadavky aj z iných webových stránok.
Útok CSRF oklame používateľa, aby interagoval so stránkou alebo skriptom na webe tretej strany. Vygeneruje škodlivú požiadavku na stránku používateľa. Server však predpokladá, že ide o požiadavku od autorizovanej webovej stránky. Keď to používateľ prijme, útočník môže prevziať kontrolu nad používaním údajov odoslaných v žiadosti.
Jeden príklad je nasledujúci. Používateľ sa prihlási na svoj bankový účet. Banka mu poskytne token relácie. Hacker môže oklamať používateľa, aby klikol na falošný odkaz, ktorý ukazuje na banku. Keď používateľ klikne na odkaz, použije token predchádzajúcej relácie. Potom sa vykoná požiadavka hackera a používateľský účet je napadnutý. Môže prevádzať peniaze zo svojho účtu. Požiadavka do banky je sfalšovaná, pretože používa rovnaký token relácie používateľa. Celkovo je dôležité vedieť, ako chrániť web pred CSRF útokom pri vývoji webu.
Aký je rozdiel medzi XSS a CSRF?
XSS znamená Cross Site Scripting a CSRF znamená Cross Site Request Forgery. XSS je typ chyby zabezpečenia počítača vo webových aplikáciách, ktorý útočníkom umožňuje vkladať skripty na strane klienta do webových stránok, ktoré si prezerajú iní používatelia. CSRF je typ zákernej aktivity hackera alebo webovej stránky, ktorá prenáša neoprávnené príkazy, ktorým bude webová aplikácia používateľa dôverovať. XSS tiež vyžaduje JavaScript na napísanie škodlivého kódu, zatiaľ čo CSRF nevyžaduje JavaScript.
V XSS navyše stránka akceptuje škodlivý kód, zatiaľ čo v CSRF je škodlivý kód uložený na stránkach tretích strán. Toto je hlavný rozdiel medzi XSS a CSRF. Stránka, ktorá je náchylná na útok XSS, je zvyčajne zraniteľná aj voči útoku CSRF. Avšak stránka, ktorá má ochranu pred XSS, môže byť stále zraniteľná voči CSRF útokom.
Súhrn – XSS vs CSRF
XSS a CSRF sú dva typy útokov na webovú stránku. XSS znamená Cross Site Scripting, zatiaľ čo CSRF znamená Cross Site Request Forgery. Rozdiel medzi XSS a CSRF je v tom, že v XSS stránka akceptuje škodlivý kód, zatiaľ čo v CSRF je škodlivý kód uložený na stránkach tretích strán.
