Các sự khác biệt chính giữa XSS và CSRF là, trong XSS (hoặc Cross Site Scripting), trang web chấp nhận mã độc hại trong khi, trong CSRF (hoặc giả mạo yêu cầu trang web chéo), mã độc được lưu trữ trong các trang web của bên thứ ba. XSS là một loại lỗ hổng bảo mật máy tính trong các ứng dụng web cho phép kẻ tấn công đưa các tập lệnh phía máy khách vào các trang web được người dùng khác xem. Mặt khác, CSRF là một loại hoạt động độc hại của tin tặc hoặc trang web truyền các lệnh trái phép mà ứng dụng web của người dùng sẽ tin tưởng.
Phát triển web là quá trình lập trình một trang web theo yêu cầu của khách hàng. Mọi tổ chức đều duy trì các trang web. Những trang web này giúp cải thiện kinh doanh và thu được lợi nhuận. Đồng thời, có thể có các mối đe dọa ảnh hưởng đến chức năng của trang web. Hai trong số đó là XSS và CSRF.
1. Tổng quan và sự khác biệt chính
2. XSS là gì
3. CSRF là gì
4. So sánh cạnh nhau - XSS vs CSRF ở dạng bảng
5. Tóm tắt
XSS là một cuộc tấn công tiêm mã nhằm tiêm mã độc vào trang web. Đây là một trong những cuộc tấn công trang web phổ biến nhất. Nó có thể ảnh hưởng đến trang web và cũng có thể ảnh hưởng đến người dùng của trang web đó. Nói cách khác, khi có một cuộc tấn công XSS trên trang web, mã đó sẽ thực thi trong trình duyệt của người dùng trang web đó.
Hình 01: Tấn công XSS
Một ngôn ngữ phổ biến để viết mã độc cho XSS là JavaScript. XSS có thể đánh cắp cookie của người dùng. Nó có thể sửa đổi trang web để xem và hành xử khác nhau. Hơn nữa, nó có thể hiển thị tải xuống phần mềm độc hại và thay đổi cài đặt của người dùng.
Có hai loại tấn công XSS. Chúng được gọi là dai dẳng và không bền bỉ. Trong tấn công XSS dai dẳng, mã độc được lưu trữ trong cơ sở dữ liệu trang web. Người dùng có thể truy cập nó mà không có bất kỳ kiến thức. Các tấn công XSS không liên tục Cũng được gọi là XSS phản ánh. Nó sẽ gửi tập lệnh độc hại dưới dạng yêu cầu HTTP. Đó là hai loại chính trong XSS.
Trong một trang web, có một phía khách hàng và phía máy chủ. Các trang web, các hình thức là về phía khách hàng. Phía máy chủ thực hiện một hành động khi người dùng hành động. Phía máy chủ cũng nhận được yêu cầu từ các trang web khác.
Tấn công CSRF lừa người dùng tương tác với một trang hoặc tập lệnh trên trang web của bên thứ ba. Nó sẽ tạo ra một yêu cầu độc hại đến trang web của người dùng. Nhưng máy chủ cho rằng đó là một yêu cầu từ một trang web được ủy quyền. Khi người dùng chấp nhận nó, kẻ tấn công có thể kiểm soát việc sử dụng dữ liệu được gửi trong yêu cầu.
Một ví dụ như sau. Một người dùng đăng nhập vào tài khoản ngân hàng của mình. Ngân hàng cung cấp cho anh ta một mã thông báo phiên. Một hacker có thể lừa người dùng nhấp vào liên kết giả mạo trỏ đến ngân hàng. Khi người dùng nhấp vào liên kết, nó sẽ sử dụng mã thông báo phiên trước đó. Sau đó, yêu cầu của hacker thực thi và tài khoản người dùng bị hack. Anh ta có thể chuyển tiền từ tài khoản của mình. Yêu cầu tới ngân hàng được giả mạo vì nó sử dụng cùng một mã thông báo phiên của người dùng. Nhìn chung, điều quan trọng là phải biết cách bảo vệ trang web khỏi cuộc tấn công CSRF trong phát triển web.
XSS là viết tắt của Cross Site Scripting và CSRF là viết tắt của Cross Site Request giả mạo. XSS là một loại lỗ hổng bảo mật máy tính trong các ứng dụng web cho phép kẻ tấn công tiêm các tập lệnh phía máy khách vào các trang web được người dùng khác xem. CSRF là một loại hoạt động độc hại của tin tặc hoặc trang web truyền các lệnh trái phép mà ứng dụng web của người dùng sẽ tin tưởng. Ngoài ra, XSS yêu cầu JavaScript viết mã độc hại trong khi CSRF không yêu cầu JavaScript.
Hơn nữa, trong XSS, trang web chấp nhận mã độc trong khi ở CSRF, mã độc được lưu trữ trong các trang web của bên thứ ba. Đây là sự khác biệt chính giữa XSS và CSRF. Thông thường, một trang web dễ bị tấn công XSS cũng dễ bị tấn công CSRF. Tuy nhiên, một trang web có bảo vệ khỏi XSS vẫn có thể dễ bị tấn công CSRF.
XSS và CSRF là hai loại tấn công vào một trang web. XSS là viết tắt của Cross Site Scripting trong khi CSRF là viết tắt của Cross Site Request giả mạo. Sự khác biệt giữa XSS và CSRF là, trong XSS, trang web chấp nhận mã độc hại trong khi, trong CSRF, mã độc được lưu trữ trong các trang web của bên thứ ba.
1.DrapsTV. Hướng dẫn XSS # 2 - Các tập lệnh không liên tục (XSS phản chiếu), DrapsTV, ngày 23 tháng 1 năm 2015. Có sẵn tại đây
2. CSRF là gì?, Hacksplained, 4 tháng 3 năm 2017. Có sẵn tại đây
3.DrapsTV. Hướng dẫn XSS # 3 - Tập lệnh liên tục, DrapsTV, ngày 26 tháng 1 năm 2015. Có sẵn tại đây
4.DrapsTV. Hướng dẫn XSS # 1 - Tập lệnh Cross Site là gì?, DrapsTV, ngày 22 tháng 1 năm 2015. Có sẵn tại đây
1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) qua Flickr