Hauptunterschied: XSS und CSRF sind zwei Arten von Sicherheitsanfälligkeiten für Computer. XSS steht für Cross-Site Scripting. CSRF steht für Cross-Site Request Forgery. In XSS nutzt der Hacker das Vertrauen eines Benutzers in eine bestimmte Website. Auf der anderen Seite nutzt der Hacker in CSRF das Vertrauen einer Website für den Browser eines bestimmten Benutzers.
XSS steht für Cross-Site Scripting. Cross Site Scripting ist ein Sicherheits-Exploit, bei dem ein böswilliger Hacker Skripts in ein dynamisches Formular einfügt. Es wird jetzt als die häufigste Sicherheitslücke angesehen, die auf Websites auftritt. In XSS fügt ein Hacker ein schädliches clientseitiges Skript in eine Website ein. Dieses Skript wurde hinzugefügt, um eine Form von Anfälligkeit für ein Opfer zu verursachen.
Angreifer oder Hacker verwenden zu diesem Zweck JavaScript, VBScript, ActiveX, HTML oder Flash. Wenn der Angriff erfolgreich ist, kann der Hacker auf viele Arten Schaden anrichten. Zum Beispiel kann der Angreifer das Konto entführen oder sogar die Benutzereinstellungen ändern. Ein allgemeines Beispiel für XSS ist zu sehen, wenn zu diesem Zweck ein schädlicher Link verwendet wird. Ein Link mit einem versteckten schädlichen Code wird erstellt und der Benutzer wird aufgefordert, darauf zu klicken. Wenn der Benutzer darauf klickt, wird der Schadcode im Webbrowser des Clients ausgeführt.
Cross-Site-Scripting-Angriffe lassen sich grob in zwei Arten einteilen:
- Dauerhaftigkeit - Bei dieser Art von Sicherheitsanfälligkeit werden die schädlichen Daten dauerhaft in einer Datenbank gespeichert und später von den Opfern abgerufen und ausgeführt, ohne dass sie davon Kenntnis haben.
- Nicht beständig - Bei dieser Art von Sicherheitsanfälligkeit werden die vom böswilligen Hacker bereitgestellten Daten ohne Verzögerung an dieser bestimmten Instanz verwendet.
CSRF steht für Cross-Site Request Forgery. Es wird auch als One-Click-Angriff oder Session-Riding bezeichnet. Sie nutzt das Vertrauen der Zielwebsite für einen Benutzer. Ein böswilliger Angriff ist so konzipiert, dass ein Benutzer böswillige Anfragen an die Zielwebsite sendet, ohne von dem Angriff Kenntnis zu haben. Eine Reihe von Aufgaben kann von einem Angreifer ausgeführt werden, der CSRF verwendet. Beispielsweise können einige Inhalte in einem Message Board bereitgestellt werden, Aktien können gehandelt werden und sogar eine E-Card kann verschickt werden. Eine der häufigsten Möglichkeiten, einen CSRF-Angriff durchzuführen, ist die Verwendung eines HTML-Image-Tags oder eines JavaScript-Image-Objekts.
Diese Art von Sicherheitsanfälligkeit ist nicht nur auf Browser beschränkt. Das bösartige Scripting kann auch über ein Word-Dokument, eine Flash-Datei, einen Film usw. ausgeführt werden. Zu den wichtigen Funktionen von CSRF gehören:
- Es ist nicht zwingend erforderlich, dass das Opfer angemeldet ist, da dies von der Absicht des Angreifers abhängt.
- Der Angreifer kann mehrere Anforderungen an die Zielwebsite generieren.
- Es funktioniert sehr gut mit anderen Arten von Angriffen.
- Im Allgemeinen können die Daten von der angegriffenen Site vom Angreifer nicht gelesen werden. Dies ist eine Einschränkung für CSRF.
Vergleich zwischen XSS und CSRF:
XSS | CSRF | |
Vollständige Form | Cross-Site-Scripting | Cross-Site Request Forgery |
Definition | In XSS fügt ein Hacker ein schädliches clientseitiges Skript in eine Website ein. Dieses Skript wurde hinzugefügt, um eine Form von Anfälligkeit für ein Opfer zu verursachen. | Es nutzt das Vertrauen der Zielwebsite in einen Benutzer. Ein böswilliger Angriff ist so konzipiert, dass ein Benutzer böswillige Anfragen an die Zielwebsite sendet, ohne den Angriff zu kennen. |
Abhängigkeit | Injektion von beliebigen Daten durch nicht validierte Daten | Informationen zu den Funktionen und Funktionen des Browsers zum Abrufen und Ausführen des Angriffsbündels |
Voraussetzung für JavaScript | Ja | Nein |
Bedingung | Akzeptanz des Schadcodes durch die Websites | Bösartiger Code befindet sich auf Websites Dritter |
Verletzlichkeit | Eine Site, die für XSS-Angriffe anfällig ist, ist auch für CSRF-Angriffe anfällig | Eine Site, die vollständig vor XSS-Angriffen geschützt ist, ist höchstwahrscheinlich immer noch anfällig für CSRF-Angriffe. |