Nøgleforskellen mellem XSS og CSRF er, at i XSS (eller Cross Site Scripting) accepterer webstedet den ondsindede kode, mens den ondsindede kode i CSRF (eller Cross Site Request Forgery) gemmes i den tredje festsider. XSS er en type computersikkerhedssårbarhed i webapplikationer, der gør det muligt for angribere at injicere scripts på klientsiden på websider, der ses af andre brugere. På den anden side er CSRF en form for ondsindet aktivitet af en hacker eller et websted, der transmitterer uautoriserede kommandoer, som brugerens webapplikation vil stole på.
Webudvikling er processen med at programmere et websted i henhold til kundens krav. Hver organisation vedligeholder hjemmesider. Disse hjemmesider hjælper med at forbedre forretningen og opnå profit. Samtidig kan der være trusler, der påvirker hjemmesidens funktionalitet. To af dem er XSS og CSRF.
Hvad er XSS?
XSS er et kodeinjektionsangreb, der injicerer ondsindet kode på webstedet. Det er et af de mest almindelige webstedsangreb. Det kan påvirke hjemmesiden og kan også påvirke brugerne af denne hjemmeside. Med andre ord, når der er et XSS-angreb på webstedet, vil denne kode blive eksekveret i brugerne af webstedet af browseren.
Figur 01: XSS-angreb
Et fælles sprog til at skrive ondsindet kode til XSS er JavaScript. XSS kan stjæle brugerens cookies. Det kan ændre websiden til at se ud og opføre sig anderledes. Desuden kan den vise malware-downloads og ændre brugernes indstillinger.
Der er to typer XSS-angreb. De kaldes vedvarende og ikke-vedvarende. Ved vedvarende XSS-angreb gemmes den ondsindede kode i webstedets database. Brugeren kan få adgang til det uden nogen viden. Det ikke-vedvarende XSS-angreb kaldes også Reflected XSS. Det sender det ondsindede script som en HTTP-anmodning. Det er de to vigtigste typer i XSS.
Hvad er CSRF?
På et websted er der en klientside og en serverside. Websiderne, formularer er på klientsiden. Serversiden udfører en handling, når brugeren handler. Serversiden modtager også anmodninger fra andre websteder.
CSRF-angreb narre brugeren til at interagere med en side eller et script på et tredjepartswebsted. Det vil generere en ondsindet anmodning til brugerens websted. Men serveren antager, at det er en anmodning fra en autoriseret hjemmeside. Når brugeren accepterer det, kan en angriber tage kontrol over brugen af de data, der sendes i anmodningen.
Et eksempel er som følger. En bruger logger ind på sin bankkonto. Banken giver ham et sessionstoken. En hacker kan narre brugeren til at klikke på et falsk link, der peger på banken. Når brugeren klikker på linket, bruger den det forrige sessionstoken. Derefter udføres hackerens anmodning, og brugerkontoen hackes. Han kan overføre penge fra sin konto. Anmodningen til banken er forfalsket, da den bruger samme sessionstoken som brugeren. Overordnet set er det vigtigt at vide, hvordan man beskytter hjemmesiden mod CSRF-angreb i webudvikling.
Hvad er forskellen mellem XSS og CSRF?
XSS står for Cross Site Scripting, og CSRF står for Cross Site Request Forgery. XSS er en type computersikkerhedssårbarhed i webapplikationer, der gør det muligt for angribere at injicere klientsidescripts på websider, der ses af andre brugere. CSRF er en form for ondsindet aktivitet af en hacker eller et websted, som transmitterer uautoriserede kommandoer, som brugerens webapplikation vil stole på. XSS kræver også JavaScript for at skrive den ondsindede kode, mens CSRF ikke kræver JavaScript.
Yderligere accepterer webstedet i XSS den ondsindede kode, mens den ondsindede kode i CSRF gemmes på tredjepartswebsteder. Dette er hovedforskellen mellem XSS og CSRF. Norm alt er et websted, der er sårbart over for XSS-angreb, også sårbart over for CSRF-angrebet. Et websted, der har beskyttelse mod XSS, kan dog stadig være sårbart over for CSRF-angreb.
Oversigt – XSS vs CSRF
XSS og CSRF er to typer angreb på et websted. XSS står for Cross Site Scripting, mens CSRF står for Cross Site Request Forgery. Forskellen mellem XSS og CSRF er, at i XSS accepterer webstedet den ondsindede kode, mens den ondsindede kode i CSRF gemmes på tredjepartswebstederne.
