Unterschied zwischen XSS und CSRF

Der Schlüsselunterschied Zwischen XSS und CSRF ist das, In XSS (oder Cross Site Scripting) akzeptiert die Website den böswilligen Code, während in CSRF (oder Cross -Site -Anfrage -Fälschung) der böswillige Code auf den Websites Dritter gespeichert wird. Das XSS ist eine Art von Anfälligkeit der Computersicherheit in Webanwendungen, mit der Angreifer clientseitige Skripte in Webseiten injizieren können, die von anderen Benutzern angezeigt werden. Auf der anderen Seite ist CSRF eine Art böswilliger Aktivität eines Hackers oder einer Website, die nicht autorisierte Befehle überträgt, denen die Webanwendung des Benutzers vertrauen wird.

Die Webentwicklung ist der Prozess der Programmierung einer Website gemäß den Kundenanforderungen. Jede Organisation unterhält Websites.  Diese Websites tragen dazu bei, das Geschäft zu verbessern und Gewinn zu erzielen. Gleichzeitig kann es Bedrohungen geben, die die Funktionalität der Website beeinflussen. Zwei von ihnen sind XSS und CSRF.

INHALT

1. Überblick und wichtiger Unterschied
2. Was ist XSS
3. Was ist CSRF
4. Seite an Seite Vergleich - XSS vs CSRF in tabellarischer Form
5. Zusammenfassung

Was ist XSS?

XSS ist ein Code -Injektionsangriff, der böswilligen Code in die Website injiziert. Es ist einer der häufigsten Website -Angriffe. Es kann die Website beeinflussen und auch die Benutzer dieser Website beeinflussen. Mit anderen Worten, wenn auf der Website ein XSS -Angriff vorhanden ist, wird dieser Code in den Benutzern dieser Website vom Browser ausgeführt.

Abbildung 01: XSS -Angriff

Eine gemeinsame Sprache, um böswilligen Code für XSS zu schreiben, ist JavaScript. XSS kann die Cookies des Benutzers stehlen. Es kann die Webseite ändern, um sich anders auszusehen und sich zu verhalten. Darüber hinaus können Malware -Downloads angezeigt und die Einstellungen des Benutzers ändern.

Es gibt zwei Arten von XSS -Angriffen. Sie werden als persistent und nicht-persistent bezeichnet. In anhaltender XSS -Angriff, Der böswillige Code wird in der Website -Datenbank gespeichert. Der Benutzer kann ohne Wissen darauf zugreifen. Der Nicht-persistenter XSS-Angriff wird auch genannt Reflektierte XSS. Es sendet das böswillige Skript als HTTP -Anfrage. Das sind die beiden Haupttypen in XSS.

Was ist CSRF?

In einer Website gibt es eine Client -Seite und die Serverseite. Die Webseiten, Formulare sind auf der Clientseite. Die Serverseite führt eine Aktion aus, wenn der Benutzer handelt. Die Serverseite erhält auch Anfragen von anderen Websites.

CSRF -Angriff tritt dazu, dass der Benutzer mit einer Seite oder einem Skript auf einer Site von Drittanbietern interagiert. Es wird eine böswillige Anfrage an der Website des Benutzers generieren. Der Server geht jedoch davon aus, dass es sich um eine Anfrage einer autorisierten Website handelt. Wenn der Benutzer es akzeptiert, kann ein Angreifer die Kontrolle über die Verwendung der in der Anforderung gesendeten Daten übernehmen.

Ein Beispiel ist wie folgt. Ein Benutzer meldet sich an seinem Bankkonto an. Die Bank bietet ihm ein Sitzungs -Token. Ein Hacker kann den Benutzer dazu bringen, auf einen gefälschten Link zu klicken, der auf die Bank zeigt. Wenn der Benutzer auf den Link klickt, verwendet er das vorherige Sitzungstoken. Anschließend wird die Anfrage des Hackers ausgeführt, und das Benutzerkonto wird gehackt. Er kann Geld von seinem Konto übertragen. Die Anfrage an die Bank ist geschmiedet, da sie denselben Sitzungs -Token des Benutzers verwendet. Insgesamt ist es wichtig zu wissen, wie die Website vor dem CSRF -Angriff in der Webentwicklung geschützt werden kann.

Was ist der Unterschied zwischen XSS und CSRF?

XSS steht für Cross Site Scripting und CSRF steht für Cross Site -Anforderungsfälschung. XSS ist eine Art von Anfälligkeit der Computersicherheit in Webanwendungen, mit der Angreifer clientseitige Skripte in Webseiten injizieren können, die von anderen Benutzern angezeigt werden. CSRF ist eine Art böswillige Aktivität eines Hackers oder einer Website, die nicht autorisierte Befehle überträgt, denen die Webanwendung des Benutzers vertrauen wird. Außerdem benötigt XSS JavaScript, den böswilligen Code zu schreiben, während das CSRF JavaScript nicht benötigt.

Darüber hinaus wird in XSS die Website den böswilligen Code in CSRF akzeptiert. Der böswillige Code wird auf den Websites Dritter gespeichert. Dies ist der Hauptunterschied zwischen XSS und CSRF. Normalerweise ist eine Stelle, die für den XSS -Angriff anfällig ist, auch anfällig für den CSRF -Angriff. Ein Standort, der sich vor XSS schützt, kann jedoch immer noch anfällig für CSRF -Angriffe sein.

Zusammenfassung -XSS vs CSRF

XSS und CSRF sind zwei Arten von Angriffen auf eine Website. XSS steht für Cross Site Scripting, während CSRF für Cross -Site -Anforderungserwartung steht. Der Unterschied zwischen XSS und CSRF besteht darin, dass die Website in XSS den böswilligen Code akzeptiert, während in CSRF der böswillige Code auf den Websites Dritter gespeichert wird.

Referenz:

1.Drapstv. XSS -Tutorial Nr. 2 - Nicht persistente Skripte (reflektierte XSS), Drapstv, 23. Januar. 2015. Hier verfügbar  
2.Was ist CSRF?, Hacksplaining, 4. März. 2017.  Hier verfügbar 
3.Drapstv. XSS -Tutorial #3 - Persistente Skripte, Drapstv, 26. Januar. 2015.  Hier verfügbar
4.Drapstv. XSS -Tutorial Nr. 1 - Was ist Cross Site Scripting?, Drapstv, 22. Januar. 2015. Hier verfügbar  

Bild mit freundlicher Genehmigung:

1.'26393980275' b Christiaan Colen (CC BY-SA 2.0) über Flickr