XSS və CSRF arasındakı əsas fərq ondan ibarətdir ki, XSS-də (və ya Saytlararası Skriptləmə) sayt zərərli kodu qəbul edir, CSRF-də (və ya Saytlararası Sorğu Saxtakarlığında) zərərli kod üçüncü yerdə saxlanılır. partiya saytları. XSS, təcavüzkarlara digər istifadəçilər tərəfindən baxılan veb səhifələrə müştəri tərəfi skriptləri yeritməyə imkan verən veb proqramlardakı kompüter təhlükəsizliyi zəifliyinin bir növüdür. Digər tərəfdən, CSRF istifadəçinin veb tətbiqinin etibar edəcəyi icazəsiz əmrləri ötürən hakerin və ya veb-saytın zərərli fəaliyyətinin bir növüdür.
Veb inkişafı müştəri tələblərinə uyğun vebsaytın proqramlaşdırılması prosesidir. Hər bir təşkilat veb-saytları saxlayır. Bu veb saytlar biznesi təkmilləşdirməyə və qazanc əldə etməyə kömək edir. Eyni zamanda, veb-saytın funksionallığına təsir edən təhlükələr ola bilər. Onlardan ikisi XSS və CSRF-dir.
XSS nədir?
XSS veb-sayta zərərli kodu yeridən kod inyeksiya hücumudur. Ən çox yayılmış veb sayt hücumlarından biridir. Bu vebsayta təsir edə bilər və həmin vebsaytın istifadəçilərinə də təsir edə bilər. Başqa sözlə, vebsaytda XSS hücumu olduqda, həmin kod brauzer tərəfindən həmin vebsaytın istifadəçilərində icra ediləcək.
Şəkil 01: XSS hücumu
XSS üçün zərərli kod yazmaq üçün ümumi dillərdən biri JavaScript-dir. XSS istifadəçi kukilərini oğurlaya bilər. O, fərqli baxmaq və davranmaq üçün veb-səhifəni dəyişdirə bilər. Bundan əlavə, o, zərərli proqram yükləmələrini göstərə və istifadəçi parametrlərini dəyişə bilər.
XSS hücumlarının iki növü var. Onlara davamlı və davamlı olmayan deyilir. Davamlı XSS hücumunda zərərli kod vebsayt verilənlər bazasında saxlanılır. İstifadəçi heç bir məlumatı olmadan ona daxil ola bilər. Davamlı olmayan XSS hücumuna Reflected XSS də deyilir. O, zərərli skripti HTTP sorğusu kimi göndərir. Bunlar XSS-də əsas iki növdür.
CSRF nədir?
Veb-saytda müştəri tərəfi və server tərəfi var. Veb səhifələr, formalar müştəri tərəfindədir. İstifadəçi hərəkət etdikdə server tərəfi bir hərəkət həyata keçirir. Server tərəfi digər vebsaytlardan da sorğular alır.
CSRF hücumu istifadəçini üçüncü tərəf saytındakı səhifə və ya skript ilə qarşılıqlı əlaqədə olmaq üçün aldadır. O, istifadəçinin saytına zərərli sorğu yaradacaq. Lakin server bunun səlahiyyətli vebsaytdan gələn sorğu olduğunu güman edir. İstifadəçi bunu qəbul etdikdə, təcavüzkar sorğuda göndərilən datadan istifadə üzərində nəzarəti ələ keçirə bilər.
Bir nümunə aşağıdakı kimidir. İstifadəçi öz bank hesabına daxil olur. Bank ona sessiya nişanı verir. Haker bankı göstərən saxta linkə klikləmək üçün istifadəçini aldada bilər. İstifadəçi linki kliklədikdə, əvvəlki sessiya işarəsindən istifadə edir. Sonra hakerin sorğusu yerinə yetirilir və istifadəçi hesabı sındırılır. O, öz hesabından pul köçürə bilər. Banka edilən sorğu istifadəçinin eyni seans nişanından istifadə etdiyi üçün saxtadır. Ümumiyyətlə, veb-saytın inkişafında veb-saytı CSRF hücumundan necə qorumaq lazım olduğunu bilmək vacibdir.
XSS və CSRF arasındakı fərq nədir?
XSS Saytlararası Skript, CSRF isə Saytlar Arası Sorğu Saxtakarlığı deməkdir. XSS, təcavüzkarlara digər istifadəçilər tərəfindən baxılan veb səhifələrə müştəri tərəfi skriptləri yeritməyə imkan verən veb proqramlardakı kompüter təhlükəsizliyi zəifliyinin bir növüdür. CSRF, istifadəçinin veb tətbiqinin etibar edəcəyi icazəsiz əmrləri ötürən hakerin və ya veb saytın zərərli fəaliyyətinin bir növüdür. Həmçinin, XSS zərərli kodu yazmaq üçün JavaScript tələb edir, CSRF isə JavaScript tələb etmir.
Bundan başqa, XSS-də sayt zərərli kodu qəbul edir, CSRF-də isə zərərli kod üçüncü tərəf saytlarında saxlanılır. XSS və CSRF arasındakı əsas fərq budur. Adətən, XSS hücumuna həssas olan sayt CSRF hücumuna da həssasdır. Bununla belə, XSS-dən müdafiəsi olan sayt hələ də CSRF hücumlarına qarşı həssas ola bilər.
Xülasə – XSS vs CSRF
XSS və CSRF veb-sayta iki növ hücumdur. XSS Cross Site Scripting, CSRF isə Cross Site Request Forgery deməkdir. XSS ilə CSRF arasındakı fərq ondan ibarətdir ki, XSS-də sayt zərərli kodu qəbul edir, CSRF-də isə zərərli kod üçüncü tərəf saytlarında saxlanılır.