Ključna razlika između XSS-a i CSRF-a je u tome što u XSS-u (ili Cross Site Scripting) web mjesto prihvaća zlonamjerni kod dok se u CSRF-u (ili Cross Site Request Forgery) zlonamjerni kod pohranjuje u treći stranačke stranice. XSS je vrsta računalne sigurnosne ranjivosti u web aplikacijama koja napadačima omogućuje ubacivanje skripti na strani klijenta u web stranice koje gledaju drugi korisnici. S druge strane, CSRF je vrsta zlonamjerne aktivnosti hakera ili web stranice koja prenosi neovlaštene naredbe kojima web aplikacija korisnika vjeruje.
Web development je proces programiranja web stranice prema zahtjevima klijenta. Svaka organizacija održava web stranice. Ove web stranice pomažu poboljšati poslovanje i ostvariti profit. Istodobno, mogu postojati prijetnje koje utječu na funkcionalnost web stranice. Dvije od njih su XSS i CSRF.
Što je XSS?
XSS je napad ubacivanjem koda koji ubacuje zlonamjerni kod na web stranicu. To je jedan od najčešćih napada na web stranice. Može utjecati na web stranicu, a može utjecati i na korisnike te web stranice. Drugim riječima, kada dođe do XSS napada na web stranicu, taj će se kôd izvršiti u korisnicima te web stranice od strane preglednika.
Slika 01: XSS napad
Jedan uobičajeni jezik za pisanje zlonamjernog koda za XSS je JavaScript. XSS može ukrasti korisnikove kolačiće. Može promijeniti web-stranicu da izgleda i ponaša se drugačije. Nadalje, može prikazati preuzimanja zlonamjernog softvera i promijeniti korisničke postavke.
Postoje dvije vrste XSS napada. Nazivaju se postojanim i nepostojanim. U trajnom XSS napadu zlonamjerni kod pohranjuje se u bazu podataka web stranice. Korisnik bi mu mogao pristupiti bez ikakvog znanja. Nepostojani XSS napad naziva se i Reflected XSS. Šalje zlonamjernu skriptu kao HTTP zahtjev. To su glavne dvije vrste u XSS-u.
Što je CSRF?
Na web stranici postoji strana klijenta i strana poslužitelja. Web stranice, obrasci su na strani klijenta. Poslužiteljska strana izvodi radnju kada korisnik djeluje. Poslužitelj također prima zahtjeve s drugih web stranica.
CSRF napad tjera korisnika da stupi u interakciju sa stranicom ili skriptom na web mjestu treće strane. Generirati će zlonamjerni zahtjev korisnikovoj stranici. Ali poslužitelj pretpostavlja da je to zahtjev s ovlaštene web stranice. Kada ga korisnik prihvati, napadač može preuzeti kontrolu nad korištenjem podataka poslanih u zahtjevu.
Jedan primjer je sljedeći. Korisnik se prijavljuje na svoj bankovni račun. Banka mu daje token sesije. Haker može prevariti korisnika da klikne na lažnu poveznicu koja upućuje na banku. Kada korisnik klikne vezu, koristi se token prethodne sesije. Zatim se zahtjev hakera izvršava i korisnički račun je hakiran. Može prenositi novac sa svog računa. Zahtjev banci krivotvoren je jer koristi isti token sesije korisnika. Općenito, važno je znati kako zaštititi web stranicu od CSRF napada u web razvoju.
Koja je razlika između XSS-a i CSRF-a?
XSS je kratica za Cross Site Scripting, a CSRF je kratica za Cross Site Request Forgery. XSS je vrsta računalne sigurnosne ranjivosti u web aplikacijama koja napadačima omogućuje ubacivanje skripti na strani klijenta u web stranice koje gledaju drugi korisnici. CSRF je vrsta zlonamjerne aktivnosti hakera ili web stranice koja prenosi neovlaštene naredbe kojima web aplikacija korisnika vjeruje. Također, XSS zahtijeva JavaScript za pisanje zlonamjernog koda dok CSRF ne zahtijeva JavaScript.
Nadalje, u XSS-u web-mjesto prihvaća zlonamjerni kod dok se u CSRF-u zlonamjerni kod pohranjuje na web-mjesta treće strane. Ovo je glavna razlika između XSS-a i CSRF-a. Obično je stranica koja je ranjiva na XSS napad također ranjiva na CSRF napad. Međutim, stranica koja ima zaštitu od XSS-a i dalje može biti ranjiva na CSRF napade.
Sažetak – XSS vs CSRF
XSS i CSRF dvije su vrste napada na web stranicu. XSS je kratica za Cross Site Scripting, dok je CSRF kratica za Cross Site Request Forgery. Razlika između XSS-a i CSRF-a je u tome što u XSS-u web-mjesto prihvaća zlonamjerni kod dok se u CSRF-u zlonamjerni kod pohranjuje na web-mjesta treće strane.
