XSS-ի և CSRF-ի հիմնական տարբերությունն այն է, որ XSS-ում (կամ Cross Site Scripting) կայքն ընդունում է վնասակար ծածկագիրը, մինչդեռ CSRF-ում (կամ Cross Site Request Forgery-ում) վնասակար կոդը պահվում է երրորդում: կուսակցական կայքեր. XSS-ը վեբ հավելվածներում համակարգչային անվտանգության խոցելիության տեսակ է, որը հարձակվողներին հնարավորություն է տալիս հաճախորդի կողմից սկրիպտներ ներարկել այլ օգտվողների կողմից դիտված վեբ էջերում: Մյուս կողմից, CSRF-ը հաքերի կամ կայքի չարամիտ գործունեության տեսակ է, որը փոխանցում է չարտոնված հրամաններ, որոնց կվստահի օգտատիրոջ վեբ հավելվածը:
Վեբ մշակումը վեբ կայքի ծրագրավորման գործընթացն է՝ ըստ հաճախորդի պահանջների:Յուրաքանչյուր կազմակերպություն պահպանում է կայքերը: Այս կայքերը օգնում են բարելավել բիզնեսը և շահույթ ստանալ: Միևնույն ժամանակ, կարող են լինել սպառնալիքներ, որոնք ազդում են կայքի ֆունկցիոնալության վրա։ Դրանցից երկուսն են XSS և CSRF:
Ի՞նչ է XSS?
XSS-ը կոդերի ներարկման հարձակում է, որը վնասակար կոդ է ներարկում կայք: Դա վեբ կայքի ամենատարածված հարձակումներից մեկն է: Դա կարող է ազդել կայքի վրա և կարող է ազդել նաև այդ կայքի օգտատերերի վրա: Այլ կերպ ասած, երբ վեբկայքի վրա XSS հարձակում է տեղի ունենում, այդ կոդը գործարկվելու է տվյալ կայքի օգտատերերի մեջ բրաուզերի կողմից։
Նկար 01. XSS հարձակում
XSS-ի համար վնասակար կոդ գրելու ընդհանուր լեզուներից մեկը JavaScript-ն է: XSS-ը կարող է գողանալ օգտվողի թխուկները: Այն կարող է փոփոխել վեբ էջը՝ այլ կերպ տեսքի և վարքագծի համար: Ավելին, այն կարող է ցուցադրել չարամիտ ծրագրերի ներբեռնումները և փոխել օգտատիրոջ կարգավորումները:
Գոյություն ունեն XSS գրոհների երկու տեսակ: Դրանք կոչվում են համառ և ոչ համառ: Մշտական XSS հարձակման ժամանակ վնասակար կոդը պահվում է կայքի տվյալների բազայում: Օգտագործողը կարող է մուտք գործել այն առանց որևէ իմացության: Ոչ համառ XSS հարձակումը կոչվում է նաև Reflected XSS: Այն ուղարկում է վնասակար սկրիպտը որպես HTTP հարցում: Սրանք XSS-ի հիմնական երկու տեսակներն են:
Ի՞նչ է CSRF?
Կայքում կա հաճախորդի կողմ և սերվերի կողմ: Վեբ էջերը, ձևաթղթերը գտնվում են հաճախորդի կողմից: Սերվերի կողմը կատարում է գործողություն, երբ օգտագործողը գործում է: Սերվերի կողմը հարցումներ է ստանում նաև այլ կայքերից:
CSRF-ի հարձակումը խաբում է օգտատիրոջը՝ փոխազդելու երրորդ կողմի կայքի էջի կամ սցենարի հետ: Այն վնասակար հարցում կառաջացնի օգտատիրոջ կայքում: Բայց սերվերը ենթադրում է, որ դա լիազորված կայքի հարցում է։ Երբ օգտատերը ընդունում է այն, հարձակվողը կարող է վերահսկել՝ օգտագործելով հարցումով ուղարկված տվյալները:
Մեկ օրինակը հետևյալն է. Օգտագործողը մուտք է գործում իր բանկային հաշիվ: Բանկը նրան տրամադրում է սեսիայի նշան: Հաքերը կարող է խաբել օգտատիրոջը՝ սեղմելով կեղծ հղման վրա, որը մատնանշում է բանկը: Երբ օգտվողը սեղմում է հղումը, այն օգտագործում է նախորդ նստաշրջանի նշանը: Այնուհետև հաքերի հարցումը կատարվում է, և օգտագործողի հաշիվը կոտրվում է: Նա կարող է գումար փոխանցել իր հաշվից։ Բանկին ուղղված հարցումը կեղծ է, քանի որ այն օգտագործում է օգտատիրոջ նույն սեսիայի նշանը: Ընդհանուր առմամբ, կարևոր է իմանալ, թե ինչպես պաշտպանել կայքը CSRF հարձակումից վեբ մշակման ժամանակ:
Ո՞րն է տարբերությունը XSS-ի և CSRF-ի միջև:
XSS նշանակում է Cross Site Scripting, իսկ CSRF նշանակում է Cross Site Request Forgery: XSS-ը համակարգչային անվտանգության խոցելիության տեսակ է վեբ հավելվածներում, որը հարձակվողներին հնարավորություն է տալիս հաճախորդի կողմից սկրիպտներ ներարկել այլ օգտվողների կողմից դիտված վեբ էջերում: CSRF-ը հաքերի կամ կայքէջի վնասակար գործունեության տեսակ է, որը փոխանցում է չարտոնված հրամաններ, որոնց կվստահի օգտատիրոջ վեբ հավելվածը: Բացի այդ, XSS-ը պահանջում է JavaScript-ը չարամիտ կոդը գրելու համար, մինչդեռ CSRF-ը չի պահանջում JavaScript:
Ավելին, XSS-ում կայքն ընդունում է վնասակար կոդը, մինչդեռ CSRF-ում վնասակար կոդը պահվում է երրորդ կողմի կայքերում: Սա է հիմնական տարբերությունը XSS-ի և CSRF-ի միջև: Սովորաբար, այն կայքը, որը խոցելի է XSS հարձակման համար, նույնպես խոցելի է CSRF հարձակման համար: Այնուամենայնիվ, այն կայքը, որը պաշտպանված է XSS-ից, դեռևս կարող է խոցելի լինել CSRF հարձակումների համար:
Ամփոփում – XSS vs CSRF
XSS-ը և CSRF-ը կայքի վրա հարձակումների երկու տեսակ են: XSS-ը նշանակում է Cross Site Scripting, մինչդեռ CSRF նշանակում է Cross Site Request Forgery: XSS-ի և CSRF-ի միջև տարբերությունն այն է, որ XSS-ում կայքն ընդունում է վնասակար կոդը, մինչդեռ CSRF-ում վնասակար կոդը պահվում է երրորդ կողմի կայքերում:
