XSS және CSRF арасындағы негізгі айырмашылық мынада: XSS (немесе Cross Site Scripting) жүйесінде сайт зиянды кодты қабылдайды, ал CSRF-те (немесе Cross Site Request Forgery) зиянды код үшіншіде сақталады. партиялық сайттар. XSS - шабуылдаушыларға басқа пайдаланушылар қарайтын веб-беттерге клиенттік сценарийлерді енгізуге мүмкіндік беретін веб-қосымшалардағы компьютер қауіпсіздігінің осалдығы. Екінші жағынан, CSRF пайдаланушының веб-қосымшасы сенетін рұқсатсыз пәрмендерді жіберетін хакердің немесе веб-сайттың зиянды әрекетінің түрі болып табылады.
Веб-әзірлеу – бұл клиент талаптарына сәйкес веб-сайтты бағдарламалау процесі. Әрбір ұйым веб-сайттарды жүргізеді. Бұл веб-сайттар бизнесті жақсартуға және пайда табуға көмектеседі. Сонымен қатар, веб-сайттың жұмысына әсер ететін қауіптер болуы мүмкін. Олардың екеуі XSS және CSRF.
XSS дегеніміз не?
XSS – веб-сайтқа зиянды код енгізетін кодты енгізу шабуылы. Бұл ең көп таралған веб-сайт шабуылдарының бірі. Бұл веб-сайтқа әсер етуі мүмкін және сол веб-сайттың пайдаланушыларына да әсер етуі мүмкін. Басқаша айтқанда, веб-сайтқа XSS шабуылы болған кезде, бұл код сол веб-сайттың пайдаланушыларында браузер арқылы орындалады.
01-сурет: XSS шабуылы
XSS үшін зиянды кодты жазуға арналған ортақ тіл - JavaScript. XSS пайдаланушының cookie файлдарын ұрлай алады. Ол басқаша көрінетін және әрекет ететін веб-бетті өзгерте алады. Оған қоса, ол зиянды бағдарламаларды жүктеп алуды көрсете алады және пайдаланушы параметрлерін өзгерте алады.
XSS шабуылдарының екі түрі бар. Олар тұрақты және тұрақты емес деп аталады. Тұрақты XSS шабуылында зиянды код веб-сайт дерекқорында сақталады. Пайдаланушы оған ешқандай білімсіз қол жеткізе алады. Тұрақты емес XSS шабуылы Reflected XSS деп те аталады. Ол зиянды сценарийді HTTP сұрауы ретінде жібереді. Бұл XSS ішіндегі негізгі екі түрі.
CSRF дегеніміз не?
Веб-сайтта клиент және сервер жағы бар. Веб-беттер, пішіндер клиент жағында. Сервер жағы пайдаланушы әрекет еткенде әрекетті орындайды. Сервер жағы басқа веб-сайттардан да сұрау алады.
CSRF шабуылы пайдаланушыны үшінші тарап сайтындағы бетпен немесе сценариймен әрекеттесу үшін алдайды. Ол пайдаланушы сайтына зиянды сұрау жасайды. Бірақ сервер бұл авторизацияланған веб-сайттың сұрауы деп болжайды. Пайдаланушы оны қабылдаған кезде, шабуылдаушы сұрауда жіберілген деректерді пайдалануды басқаруды өз қолына алады.
Бір мысал төмендегідей. Пайдаланушы өзінің банктік шотына кіреді. Банк оған сеанс белгісін береді. Хакер пайдаланушыны банкке нұсқайтын жалған сілтемені басу үшін алдап жіберуі мүмкін. Пайдаланушы сілтемені басқанда, ол алдыңғы сеанс таңбалауышын пайдаланады. Содан кейін хакердің сұрауы орындалады және пайдаланушы тіркелгісі бұзылады. Ол өз шотынан ақша аудара алады. Банкке сұрау жалған болып табылады, себебі ол пайдаланушының сол сеанс таңбалауышын пайдаланады. Жалпы алғанда, веб-әзірлеуде веб-сайтты CSRF шабуылынан қалай қорғау керектігін білу маңызды.
XSS және CSRF арасындағы айырмашылық неде?
XSS - Cross Site Scripting, ал CSRF - Cross Site Request Forgery дегенді білдіреді. XSS – шабуылдаушыларға басқа пайдаланушылар қарайтын веб-беттерге клиенттік сценарийлерді енгізуге мүмкіндік беретін веб-қосымшалардағы компьютер қауіпсіздігінің осалдығы түрі. CSRF – пайдаланушының веб-қосымшасы сенетін рұқсатсыз пәрмендерді жіберетін хакердің немесе веб-сайттың зиянды әрекетінің түрі. Сондай-ақ, XSS зиянды кодты жазу үшін JavaScript-ті қажет етеді, ал CSRF JavaScript-ті қажет етпейді.
Сонымен қатар, XSS-те сайт зиянды кодты қабылдайды, ал CSRF-те зиянды код үшінші тарап сайттарында сақталады. Бұл XSS пен CSRF арасындағы негізгі айырмашылық. Әдетте, XSS шабуылына осал сайт CSRF шабуылына да осал. Дегенмен, XSS қорғанысы бар сайт әлі де CSRF шабуылдарына осал болуы мүмкін.
Қорытынды – XSS және CSRF
XSS және CSRF - веб-сайтқа жасалған шабуылдың екі түрі. XSS сайттар аралық сценарийді білдіреді, ал CSRF сайттар аралық сұрауды жалған жасауды білдіреді. XSS пен CSRF арасындағы айырмашылық мынада: XSS жүйесінде сайт зиянды кодты қабылдайды, ал CSRF жүйесінде зиянды код үшінші тарап сайттарында сақталады.
