ключевое отличие между XSS и CSRF является то, что, в XSS (или межсайтовом скриптинге) сайт принимает вредоносный код, тогда как в CSRF (или подделке межсайтового запроса) вредоносный код хранится на сторонних сайтах. XSS - это тип уязвимости компьютерной безопасности в веб-приложениях, которая позволяет злоумышленникам вставлять клиентские сценарии в веб-страницы, просматриваемые другими пользователями. С другой стороны, CSRF - это тип вредоносной деятельности хакера или веб-сайта, который передает неавторизованные команды, которым веб-приложение пользователя будет доверять..
Веб-разработка - это процесс программирования сайта в соответствии с требованиями клиента. Каждая организация поддерживает веб-сайты. Эти сайты помогают улучшить бизнес и получать прибыль. В то же время могут быть угрозы, которые влияют на функциональность сайта. Два из них XSS и CSRF.
1. Обзор и основные отличия
2. Что такое XSS
3. Что такое CSRF
4. Сравнение бок о бок - XSS против CSRF в табличной форме
5. Резюме
XSS - это атака с использованием кода, которая внедряет вредоносный код в веб-сайт. Это одна из самых распространенных атак на веб-сайты. Это может повлиять на сайт, а также может повлиять на пользователей этого сайта. Другими словами, когда XSS-атака на веб-сайт, этот код будет выполняться браузером для пользователей этого веб-сайта..
Рисунок 01: Атака XSS
Одним из распространенных языков для написания вредоносного кода для XSS является JavaScript. XSS может украсть куки пользователя. Он может изменить веб-страницу, чтобы выглядеть и вести себя по-разному. Кроме того, он может отображать загрузки вредоносных программ и изменять настройки пользователя..
Существует два типа атак XSS. Они называются постоянными и непостоянными. В постоянная атака XSS, вредоносный код хранится в базе данных сайта. Пользователь может получить к нему доступ без каких-либо знаний. непостоянная атака XSS также называется Отраженный XSS. Он отправляет вредоносный скрипт в виде HTTP-запроса. Это два основных типа в XSS.
На веб-сайте есть сторона клиента и сторона сервера. Веб-страницы, формы на стороне клиента. Сторона сервера выполняет действие, когда действует пользователь. Серверная сторона получает запросы и с других сайтов.
CSRF-атака обманывает пользователя при взаимодействии со страницей или скриптом на стороннем сайте. Он сгенерирует вредоносный запрос к сайту пользователя. Но сервер предполагает, что это запрос от авторизованного сайта. Когда пользователь принимает его, злоумышленник может получить контроль над данными, отправленными в запросе..
Один из примеров заключается в следующем. Пользователь входит в свой банковский счет. Банк предоставляет ему токен сессии. Хакер может обмануть пользователя, нажав на поддельную ссылку, которая указывает на банк. Когда пользователь щелкает ссылку, он использует маркер предыдущего сеанса. Затем выполняется запрос хакера, и учетная запись пользователя взламывается. Он может переводить деньги со своего счета. Запрос к банку подделан, так как он использует тот же сеансовый токен пользователя. В целом, важно знать, как защитить сайт от CSRF-атак в веб-разработке..
XSS расшифровывается как межсайтовый скриптинг, а CSRF обозначает подделку межсайтовых запросов. XSS - это тип уязвимости компьютерной безопасности в веб-приложениях, которая позволяет злоумышленникам вставлять клиентские сценарии в веб-страницы, просматриваемые другими пользователями. CSRF - это тип вредоносной деятельности хакера или веб-сайта, который передает неавторизованные команды, которым доверяет веб-приложение пользователя. Кроме того, XSS требует JavaScript для написания вредоносного кода, в то время как CSRF не требует JavaScript.
Кроме того, в XSS сайт принимает вредоносный код, а в CSRF вредоносный код хранится на сторонних сайтах. В этом главное отличие XSS от CSRF. Обычно сайт, уязвимый для атаки XSS, также уязвим для атаки CSRF. Однако сайт с защитой от XSS все еще может быть уязвим для атак CSRF..
XSS и CSRF - это два типа атак на сайт. XSS означает межсайтовый скриптинг, а CSRF - подделку межсайтовых запросов. Разница между XSS и CSRF заключается в том, что в XSS сайт принимает вредоносный код, а в CSRF вредоносный код хранится на сторонних сайтах..
1.DrapsTV. XSS Tutorial # 2 - Непостоянные сценарии (Reflected XSS), DrapsTV, 23 января 2015 г. Доступно здесь
2.Что такое CSRF ?, Hacksplaining, 4 марта 2017 года. Доступно здесь
3.DrapsTV. XSS Tutorial # 3 - Persistent Scripts, DrapsTV, 26 января 2015 г. Доступно здесь
4.DrapsTV. XSS Tutorial # 1 - Что такое межсайтовый скриптинг ?, DrapsTV, 22 января 2015 г. Доступно здесь
1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) через Flickr