Perbezaan Antara XSS dan CSRF
Share
The perbezaan utama antara XSS dan CSRF ialah, dalam XSS (atau Scripting Cross Site), laman web menerima kod jahat sedangkan dalam CSRF (atau Pemalsuan Permintaan Tapak Pelupusan), kod jahat yang disimpan di laman pihak ketiga. XSS adalah sejenis kelemahan keselamatan komputer dalam aplikasi web yang membolehkan penyerang menyuntik skrip sisi klien ke laman web yang dilihat oleh pengguna lain. Sebaliknya, CSRF adalah sejenis aktiviti berniat jahat dari penggodam atau laman web yang menghantar arahan yang tidak dibenarkan bahawa aplikasi web pengguna akan dipercaya.
Pembangunan web adalah proses pengaturcaraan laman web mengikut keperluan pelanggan. Setiap organisasi mengekalkan laman web. Laman web ini membantu meningkatkan perniagaan dan memperoleh keuntungan. Pada masa yang sama, terdapat ancaman yang mempengaruhi fungsi laman web. Dua daripada mereka adalah XSS dan CSRF.
KANDUNGAN
1. Gambaran Keseluruhan dan Perbezaan Utama
2. Apakah XSS
3. Apakah CSRF
4. Side by Side Comparison - XSS vs CSRF dalam Borang Tabular
5. Ringkasan
Apakah itu XSS??
XSS adalah serangan suntikan kod yang menyuntik kod jahat ke laman web. Ia adalah salah satu serangan laman web yang paling biasa. Ia boleh menjejaskan laman web dan juga boleh menjejaskan pengguna laman web tersebut. Dengan kata lain, apabila terdapat serangan XSS di laman web, kod itu akan dilaksanakan di pengguna laman web tersebut oleh penyemak imbas.
Rajah 01: Serangan XSS
Satu bahasa umum untuk menulis kod jahat untuk XSS adalah JavaScript. XSS boleh mencuri kuki pengguna. Ia boleh mengubah suai laman web untuk melihat dan berkelakuan secara berbeza. Tambahan pula, ia boleh memaparkan muat turun malware dan menukar tetapan pengguna.
Terdapat dua jenis serangan XSS. Mereka dipanggil berterusan dan tidak berterusan. In serangan XSS berterusan, kod berniat jahat disimpan dalam pangkalan data laman web. Pengguna mungkin mengaksesnya tanpa pengetahuan. The serangan XSS yang tidak berterusan juga dipanggil XSS mencerminkan. Ia menghantar skrip jahat sebagai permintaan HTTP. Ini adalah dua jenis utama dalam XSS.
Apa itu CSRF?
Di dalam laman web, terdapat sisi pelanggan dan sisi pelayan. Laman web, borang di pihak klien. Sisi pelayan melakukan tindakan apabila pengguna bertindak. Bahagian pelayan mendapat permintaan dari laman web lain juga.
Serangan CSRF menipu pengguna untuk berinteraksi dengan halaman atau skrip pada tapak pihak ketiga. Ia akan menjana permintaan yang berniat jahat ke laman pengguna. Tetapi pelayan menganggap bahawa ia adalah permintaan dari laman web yang dibenarkan. Apabila pengguna menerimanya, penyerang boleh mengambil kawalan ke atas menggunakan data yang dihantar dalam permintaan.
Satu contoh adalah seperti berikut. Pengguna log masuk ke akaun banknya. Bank memberikan kepadanya tanda sesi. Seorang penggodam boleh menipu pengguna untuk mengklik pautan palsu yang menunjuk ke bank. Apabila pengguna mengklik pautan, ia menggunakan token sesi sebelumnya. Kemudian, permintaan penggodam dijalankan, dan akaun pengguna digodam. Dia boleh memindahkan wang dari akaunnya. Permintaan ke bank dipalsukan kerana ia menggunakan token sesi yang sama pengguna. Secara keseluruhan, adalah penting untuk mengetahui cara melindungi laman web dari serangan CSRF dalam pembangunan web.
Apakah Perbezaan Antara XSS dan CSRF?
XSS bermaksud Cross Site Scripting, dan CSRF bermaksud Pemalsuan Permintaan Site Cross. XSS adalah sejenis kelemahan keselamatan komputer dalam aplikasi web yang membolehkan penyerang menyuntik skrip sisi klien ke laman web yang dilihat oleh pengguna lain. CSRF adalah sejenis aktiviti berniat jahat dari seorang penggodam atau laman web yang menghantar arahan yang tidak dibenarkan bahawa aplikasi web pengguna akan dipercaya. Juga, XSS memerlukan JavaScript untuk menulis kod jahat sedangkan CSRF tidak memerlukan JavaScript.
Di samping itu, di XSS, laman web menerima kod berniat jahat semasa dalam CSRF, kod berniat jahat disimpan di tapak pihak ketiga. Ini adalah perbezaan utama antara XSS dan CSRF. Biasanya, tapak yang terdedah kepada serangan XSS juga terdedah kepada serangan CSRF. Walau bagaimanapun, tapak yang mempunyai perlindungan daripada XSS masih boleh terdedah kepada serangan CSRF.
Ringkasan - XSS vs CSRF
XSS dan CSRF adalah dua jenis serangan ke laman web. XSS bermaksud Cross Site Scripting sementara CSRF bermaksud Pemalsuan Permintaan Site Cross. Perbezaan antara XSS dan CSRF ialah, di XSS, laman web menerima kod berniat jahat semasa, dalam CSRF, kod berniat jahat disimpan di tapak pihak ketiga.
Rujukan:
1.DrapsTV. Tutorial XSS # 2 - Skrip Tidak Berterusan (XSS Terhangat), DrapsTV, 23 Jan 2015. Available here
2. Apa itu CSRF ?, Hacksplaining, 4 Mac 2017. Boleh didapati di sini
3.DrapsTV. Tutorial XSS # 3 - Skrip berterusan, DrapsTV, 26 Jan 2015. Boleh didapati di sini
4.DrapsTV. Tutorial XSS # 1 - Apakah Scripting Cross Site ?, DrapsTV, 22 Jan 2015. Boleh didapati di sini
Image Courtesy:
1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) melalui Flickr
