Ključna razlika između XSS-a i CSRF-a je u tome što, u XSS-u (ili Cross Site Scripting), stranica prihvata zlonamjerni kod, dok je u CSRF-u (ili Cross Site Request Forgery) zlonamjerni kod pohranjen u trećem sajtovi za zabave. XSS je vrsta računarske sigurnosne ranjivosti u web aplikacijama koja omogućava napadačima da ubace skripte na strani klijenta u web stranice koje gledaju drugi korisnici. S druge strane, CSRF je vrsta zlonamjerne aktivnosti hakera ili web stranice koja prenosi neovlaštene komande kojima će web aplikacija korisnika vjerovati.
Web razvoj je proces programiranja web stranice prema zahtjevima klijenta. Svaka organizacija održava web stranice. Ove web stranice pomažu u poboljšanju poslovanja i sticanju profita. Istovremeno, mogu postojati prijetnje koje utiču na funkcionalnost web stranice. Dva od njih su XSS i CSRF.
Šta je XSS?
XSS je napad ubrizgavanjem koda koji ubacuje zlonamjerni kod na web stranicu. To je jedan od najčešćih napada na web stranice. To može utjecati na web stranicu i također može utjecati na korisnike te web stranice. Drugim riječima, kada dođe do XSS napada na web stranicu, taj kod će se izvršiti kod korisnika te web stranice od strane pretraživača.
Slika 01: XSS napad
Jedan uobičajeni jezik za pisanje zlonamjernog koda za XSS je JavaScript. XSS može ukrasti korisničke kolačiće. Može modificirati web stranicu da izgleda i ponaša se drugačije. Nadalje, može prikazati preuzimanja zlonamjernog softvera i mijenjati korisničke postavke.
Postoje dvije vrste XSS napada. Nazivaju se upornim i nepostojanim. U stalnom XSS napadu, zlonamjerni kod se pohranjuje u bazi podataka web stranice. Korisnik mu može pristupiti bez ikakvog znanja. Netrajni XSS napad se naziva i Reflected XSS. Šalje zlonamjernu skriptu kao HTTP zahtjev. To su dvije glavne vrste u XSS-u.
Šta je CSRF?
Na web stranici postoje strana klijenta i strana servera. Web stranice, obrasci su na strani klijenta. Strana servera izvodi akciju kada korisnik djeluje. Serverska strana prima zahtjeve i sa drugih web stranica.
CSRF napad vara korisnika da stupi u interakciju sa stranicom ili skriptom na sajtu treće strane. To će generirati zlonamjerni zahtjev za web lokaciju korisnika. Ali server pretpostavlja da je to zahtjev sa ovlaštene web stranice. Kada korisnik to prihvati, napadač može preuzeti kontrolu nad korištenjem podataka poslatih u zahtjevu.
Jedan primjer je sljedeći. Korisnik se prijavljuje na svoj bankovni račun. Banka mu daje token sesije. Haker može prevariti korisnika da klikne na lažni link koji vodi do banke. Kada korisnik klikne na vezu, koristi se prethodni token sesije. Zatim se izvršava zahtjev hakera, a korisnički račun je hakiran. Može prebaciti novac sa svog računa. Zahtjev banci je krivotvoren jer koristi isti token sesije korisnika. Sve u svemu, važno je znati kako zaštititi web stranicu od CSRF napada u web razvoju.
Koja je razlika između XSS-a i CSRF-a?
XSS je skraćenica za Cross Site Scripting, a CSRF označava Cross Site Request Forgery. XSS je vrsta ranjivosti računarske sigurnosti u web aplikacijama koja omogućava napadačima da ubace skripte na strani klijenta u web stranice koje gledaju drugi korisnici. CSRF je vrsta zlonamjerne aktivnosti hakera ili web stranice koja prenosi neovlaštene naredbe kojima će web aplikacija korisnika vjerovati. Takođe, XSS zahteva JavaScript za pisanje zlonamernog koda, dok CSRF ne zahteva JavaScript.
Dalje, u XSS-u, stranica prihvata zlonamjerni kod, dok se u CSRF-u zlonamjerni kod pohranjuje na web-stranice trećih strana. Ovo je glavna razlika između XSS-a i CSRF-a. Obično je sajt koji je ranjiv na XSS napad takođe ranjiv na CSRF napad. Međutim, stranica koja ima zaštitu od XSS-a i dalje može biti ranjiva na CSRF napade.
Sažetak – XSS vs CSRF
XSS i CSRF su dvije vrste napada na web stranicu. XSS je skraćenica za Cross Site Scripting, dok CSRF označava Cross Site Request Forgery. Razlika između XSS-a i CSRF-a je u tome što, u XSS-u, stranica prihvata zlonamjerni kod, dok je u CSRF-u zlonamjerni kod pohranjen na web-stranicama trećih strana.
