Perbezaan antara XSS dan CSRF

The Perbezaan utama Antara XSS dan CSRF ialah, Di XSS (atau skrip tapak silang), laman web ini menerima kod berniat jahat sementara, di CSRF (atau pemalsuan permintaan tapak silang), kod jahat disimpan di tapak pihak ketiga. XSS adalah jenis kelemahan keselamatan komputer dalam aplikasi web yang membolehkan penyerang menyuntik skrip sisi klien ke laman web yang dilihat oleh pengguna lain. Sebaliknya, CSRF adalah sejenis aktiviti berniat jahat penggodam atau laman web yang menghantar perintah yang tidak dibenarkan yang akan dipercayai oleh aplikasi web pengguna.

Pembangunan Web adalah proses pengaturcaraan laman web mengikut keperluan pelanggan. Setiap organisasi mengekalkan laman web.  Laman web ini membantu meningkatkan perniagaan dan mendapat keuntungan. Pada masa yang sama, terdapat ancaman yang mempengaruhi fungsi laman web. Dua daripadanya adalah XSS dan CSRF.

Kandungan

1. Gambaran Keseluruhan dan Perbezaan Utama
2. Apa itu XSS
3. Apa itu CSRF
4. Perbandingan sampingan - XSS vs CSRF dalam bentuk jadual
5. Ringkasan

Apa itu XSS?

XSS adalah serangan suntikan kod yang menyuntik kod jahat ke laman web. Ini adalah salah satu serangan laman web yang paling biasa. Ia boleh menjejaskan laman web dan juga boleh menjejaskan pengguna laman web tersebut. Dengan kata lain, apabila terdapat serangan XSS di laman web, kod itu akan dilaksanakan di pengguna laman web itu oleh penyemak imbas.

Rajah 01: Serangan XSS

Satu bahasa biasa untuk menulis kod jahat untuk XSS adalah JavaScript. XSS boleh mencuri kuki pengguna. Ia dapat mengubahsuai laman web untuk melihat dan berkelakuan berbeza. Selain itu, ia boleh memaparkan muat turun malware dan menukar tetapan pengguna.

Terdapat dua jenis serangan XSS. Mereka dipanggil berterusan dan tidak berpesta. Dalam Serangan XSS yang berterusan, Kod jahat disimpan dalam pangkalan data laman web. Pengguna mungkin mengaksesnya tanpa pengetahuan. The Serangan XSS yang tidak berterusan juga dipanggil Mencerminkan XSS. Ia menghantar skrip berniat jahat sebagai permintaan HTTP. Itu adalah dua jenis utama dalam XSS.

Apa itu CSRF?

Di laman web, terdapat sisi pelanggan dan sisi pelayan. Halaman web, bentuk berada di sisi pelanggan. Sisi pelayan melakukan tindakan apabila pengguna bertindak. Sisi pelayan mendapat permintaan dari laman web lain juga.

Serangan CSRF menipu pengguna untuk berinteraksi dengan halaman atau skrip di laman pihak ketiga. Ia akan menjana permintaan berniat jahat ke laman web pengguna. Tetapi pelayan mengandaikan bahawa ia adalah permintaan dari laman web yang dibenarkan. Apabila pengguna menerimanya, penyerang boleh mengambil kawalan ke atas menggunakan data yang dihantar dalam permintaan.

Satu contoh adalah seperti berikut. Pengguna masuk ke akaun banknya. Bank menyediakannya dengan token sesi. Penggodam boleh menipu pengguna untuk mengklik pautan palsu yang menunjuk ke bank. Apabila pengguna mengklik pautan, ia menggunakan token sesi sebelumnya. Kemudian, permintaan penggodam dijalankan, dan akaun pengguna digodam. Dia boleh memindahkan wang dari akaunnya. Permintaan ke bank dipalsukan kerana ia menggunakan token sesi yang sama pengguna. Secara keseluruhan, penting untuk mengetahui cara melindungi laman web dari serangan CSRF dalam pembangunan web.

Apakah perbezaan antara XSS dan CSRF?

XSS bermaksud skrip silang tapak, dan CSRF bermaksud pemalsuan permintaan tapak silang. XSS adalah jenis kelemahan keselamatan komputer dalam aplikasi web yang membolehkan penyerang menyuntik skrip sisi klien ke laman web yang dilihat oleh pengguna lain. CSRF adalah sejenis aktiviti berniat jahat penggodam atau laman web yang menghantar arahan yang tidak dibenarkan yang akan dipercayai oleh aplikasi web pengguna. Juga, XSS memerlukan JavaScript untuk menulis kod berniat jahat sementara CSRF tidak memerlukan JavaScript.

Selain itu, di XSS, laman web ini menerima kod berniat jahat semasa di CSRF, kod jahat disimpan di tapak pihak ketiga. Ini adalah perbezaan utama antara XSS dan CSRF. Biasanya, tapak yang terdedah kepada serangan XSS juga terdedah kepada serangan CSRF. Walau bagaimanapun, tapak yang mempunyai perlindungan dari XSS masih boleh terdedah kepada serangan CSRF.

Ringkasan -XSS vs CSRF

XSS dan CSRF adalah dua jenis serangan ke laman web. XSS bermaksud skrip tapak silang manakala CSRF bermaksud pemalsuan permintaan tapak silang. Perbezaan antara XSS dan CSRF ialah, dalam XSS, laman web ini menerima kod berniat jahat sementara, dalam CSRF, kod jahat disimpan di tapak pihak ketiga.

Rujukan:

1.Drapstv. Tutorial XSS #2 - Skrip tidak berterusan (XSS yang dicerminkan), drapstv, 23 Jan. 2015. Terdapat di sini  
2.Apa itu CSRF?, Hacksplaining, 4 mar. 2017.  Terdapat di sini 
3.Drapstv. Tutorial XSS #3 - Skrip berterusan, Drapstv, 26 Jan. 2015.  Terdapat di sini
4.Drapstv. Tutorial XSS #1 - Apakah skrip silang laman web?, Drapstv, 22 Jan. 2015. Terdapat di sini  

Ihsan gambar:

1.'26393980275' B Christiaan Colen (CC BY-SA 2.0) melalui Flickr