Διαφορά κλειδιού: Το XSS και το CSRF είναι δύο τύποι ευπάθειας ασφαλείας υπολογιστών. Το XSS σημαίνει Cross-Site Scripting. Το CSRF αντιπροσωπεύει τη διασταυρούμενη παρακαταθήκη αιτημάτων. Στο XSS, ο χάκερ εκμεταλλεύεται την εμπιστοσύνη που έχει ένας χρήστης για έναν συγκεκριμένο ιστότοπο. Από την άλλη πλευρά, στην CSRF ο χάκερ εκμεταλλεύεται την εμπιστοσύνη ενός ιστότοπου για ένα πρόγραμμα περιήγησης συγκεκριμένου χρήστη.
Το XSS σημαίνει Cross-Site Scripting. Το Cross Site Scripting είναι ένα εργαλείο ασφαλείας στο οποίο ένας κακόβουλος hacker εισάγει σεναράκια σε μια δυναμική φόρμα. Αυτή τη στιγμή θεωρείται ως η πιο κοινή ευπάθεια ασφαλείας που εντοπίζεται σε ιστότοπους. Στο XSS, ένας χάκερ εισάγει ένα κακόβουλο σενάριο πελάτη σε έναν ιστότοπο. Αυτό το script προστίθεται για να προκαλέσει κάποια μορφή ευπάθειας σε ένα θύμα.
Οι επιτιθέμενοι ή οι χάκερ χρησιμοποιούν JavaScript, VBScript, ActiveX, HTML ή Flash για το σκοπό αυτό. Μόλις η επίθεση είναι επιτυχής, ο χάκερ μπορεί να προκαλέσει βλάβη με πολλούς τρόπους. Για παράδειγμα, ο εισβολέας μπορεί να καταλάβει τον λογαριασμό ή ακόμα και να αλλάξει τις ρυθμίσεις του χρήστη. Ένα κοινό παράδειγμα του XSS μπορεί να δει κανείς όπου χρησιμοποιείται κακόβουλος σύνδεσμος για το σκοπό αυτό. Ένας σύνδεσμος που περιέχει έναν κρυφό κακόβουλο κώδικα δημιουργείται και ο χρήστης καλείται να κάνει κλικ πάνω του. Εάν ο χρήστης κάνει κλικ σε αυτόν, ο κακόβουλος κώδικας εκτελείται στο πρόγραμμα περιήγησης ιστού του πελάτη.
Οι επιθέσεις σεναρίου μεταξύ ιστοτόπων μπορούν να χωριστούν σε δύο κατηγορίες -
- Συνεχής - Σε αυτόν τον τύπο ευπάθειας, τα κακόβουλα δεδομένα αποθηκεύονται μόνιμα σε μια βάση δεδομένων και προσπελαύνεται αργότερα και εκτελούνται από τα θύματα χωρίς να έχουν καμία γνώση γι 'αυτό.
- Μη επίμονη - Σε αυτόν τον τύπο ευπάθειας, τα δεδομένα που παρέχει ο κακόβουλος χάκερ χρησιμοποιούνται σε αυτή τη συγκεκριμένη περίπτωση χωρίς καθυστέρηση.
Το CSRF αντιπροσωπεύει τη διασταυρούμενη παρακαταθήκη αιτημάτων. Είναι επίσης γνωστό ως επίθεση με ένα κλικ ή ιππασία. Επωφελείται από την εμπιστοσύνη του στοχευμένου ιστοτόπου σε έναν χρήστη. Μια κακόβουλη επίθεση σχεδιάζεται με τέτοιο τρόπο ώστε ένας χρήστης να στέλνει κακόβουλα αιτήματα στον ιστότοπο προορισμού χωρίς να έχει γνώση της επίθεσης. Ορισμένοι στόχοι μπορούν να εκτελεστούν από έναν εισβολέα που χρησιμοποιεί CSRF, για παράδειγμα, κάποιο περιεχόμενο μπορεί να αναρτηθεί σε ένα μήνυμα, να μπορούν να διακινηθούν μετοχές και να ταχυδρομηθεί ακόμη και μια ηλεκτρονική κάρτα. Ένας από τους πιο συνηθισμένους τρόπους για να εκτελέσετε μια επίθεση CSRF είναι να χρησιμοποιήσετε μια ετικέτα εικόνας HTML ή ένα αντικείμενο εικόνας JavaScript.
Αυτό το είδος ευπάθειας δεν περιορίζεται μόνο στα προγράμματα περιήγησης. Το κακόβουλο scripting μπορεί επίσης να γίνει μέσω ενός εγγράφου λέξης, ενός αρχείου Flash, μιας ταινίας κλπ. Ορισμένα από τα σημαντικά χαρακτηριστικά του CSRF περιλαμβάνουν -
- Δεν είναι υποχρεωτικό για το θύμα να συνδεθεί, καθώς εξαρτάται από την πρόθεση του εισβολέα.
- Πολλά αιτήματα μπορούν να δημιουργηθούν από τον εισβολέα στον ιστότοπο προορισμού.
- Λειτουργεί εξαιρετικά καλά με άλλους τύπους επιθέσεων.
- Γενικά, τα δεδομένα από τον επιτιθέμενο ιστότοπο δεν μπορούν να διαβαστούν από τον εισβολέα και αυτό αποτελεί περιορισμό για την CSRF.
Σύγκριση μεταξύ XSS και CSRF:
XSS | CSRF | |
Πλήρη μορφή | Scripting μεταξύ ιστοτόπων | Διαμαρτυρία αιτήσεων μεταξύ των ιστότοπων |
Ορισμός | Στο XSS, ένας χάκερ εισάγει ένα σενάριο πλευράς κακόβουλου πελάτη σε έναν ιστότοπο. Αυτό το script προστίθεται για να προκαλέσει κάποια μορφή ευπάθειας σε ένα θύμα. | Χρησιμοποιεί την εμπιστοσύνη του στοχευμένου ιστότοπου σε έναν χρήστη. Μια κακόβουλη επίθεση έχει σχεδιαστεί με τέτοιο τρόπο ώστε ένας χρήστης να στέλνει κακόβουλα αιτήματα στον ιστότοπο προορισμού χωρίς να έχει γνώση της επίθεσης. |
Εξάρτηση | Εισαγωγή αυθαίρετων δεδομένων από δεδομένα που δεν έχουν επικυρωθεί | Σχετικά με τη λειτουργικότητα και τις δυνατότητες του προγράμματος περιήγησης για την ανάκτηση και εκτέλεση της δέσμης προσβολής |
Απαιτήσεις JavaScript | Ναί | Οχι |
Κατάσταση | Αποδοχή του κακόβουλου κώδικα από τους ιστότοπους | Ο κακόβουλος κώδικας βρίσκεται σε ιστότοπους τρίτων |
Τρωτό | Ένας ιστότοπος που είναι ευάλωτος στις επιθέσεις XSS είναι επίσης ευάλωτος σε επιθέσεις CSRF | Ένας ιστότοπος που προστατεύεται πλήρως από τους τύπους επιθέσεων XSS εξακολουθεί να είναι πιθανότατα ευάλωτος στις επιθέσεις CSRF. |