Verschil tussen XSS en CSRF
Share
De belangrijk verschil tussen XSS en CSRF is dat, in XSS (of Cross Site Scripting) accepteert de site de schadelijke code terwijl, in CSRF (of Cross Site Request Forgery), de schadelijke code wordt opgeslagen op de sites van derden.. De XSS is een type computerbeveiligingskwetsbaarheid in webtoepassingen waarmee aanvallers client-side scripts kunnen injecteren in webpagina's die door andere gebruikers worden bekeken. Aan de andere kant is CSRF een type kwaadwillige activiteit van een hacker of een website die ongeautoriseerde opdrachten verzendt die de webtoepassing van de gebruiker vertrouwt.
Webontwikkeling is het proces van het programmeren van een website volgens de eisen van de klant. Elke organisatie onderhoudt websites. Deze websites helpen om het bedrijf te verbeteren en winst te maken. Tegelijkertijd kunnen er bedreigingen zijn die de functionaliteit van de website beïnvloeden. Twee daarvan zijn XSS en CSRF.
INHOUD
1. Overzicht en belangrijkste verschil
2. Wat is XSS
3. Wat is CSRF
4. Vergelijking zij aan zij - XSS vs CSRF in tabelvorm
5. Samenvatting
Wat is XSS?
XSS is een code-injectie-aanval die schadelijke code in de website injecteert. Het is een van de meest voorkomende aanvallen op de website. Het kan van invloed zijn op de website en kan ook van invloed zijn op de gebruikers van die website. Met andere woorden, wanneer er een XSS-aanval op de website plaatsvindt, zal die code door de browser in de gebruikers van die website worden uitgevoerd.
Afbeelding 01: XSS-aanval
Een veel voorkomende taal om kwaadwillende code te schrijven voor XSS is JavaScript. XSS kan gebruikerscookies stelen. Het kan de webpagina wijzigen om er anders uit te zien en zich anders te gedragen. Bovendien kan het downloads van malware weergeven en de instellingen van de gebruiker wijzigen.
Er zijn twee soorten XSS-aanvallen. Ze worden persistent en niet-persistent genoemd. In aanhoudende XSS-aanval, de schadelijke code wordt opgeslagen in de websitedatabase. De gebruiker kan er zonder enige kennis toegang toe krijgen. De niet-persistente XSS-aanval wordt ook genoemd Weerspiegelde XSS. Het stuurt het schadelijke script als een HTTP-verzoek. Dat zijn de twee hoofdtypen in XSS.
Wat is CSRF?
In een website is er een client- en serverzijde. De webpagina's, formulieren staan aan de kant van de klant. De serverkant voert een actie uit wanneer de gebruiker handelt. Serverkant krijgt ook aanvragen van andere websites.
CSRF-aanval tricks de gebruiker om te communiceren met een pagina of een script op een site van derden. Het genereert een kwaadwillig verzoek naar de site van de gebruiker. Maar de server gaat ervan uit dat dit een verzoek van een geautoriseerde website is. Wanneer de gebruiker het accepteert, kan een aanvaller de controle overnemen met behulp van de gegevens die in het verzoek zijn verzonden.
Een voorbeeld is als volgt. Een gebruiker logt in op zijn bankrekening. De bank geeft hem een sessietoken. Een hacker kan de gebruiker misleiden om op een valse link te klikken die naar de bank verwijst. Wanneer de gebruiker op de koppeling klikt, wordt de vorige sessietoken gebruikt. Vervolgens wordt het verzoek van de hacker uitgevoerd en wordt het gebruikersaccount gehackt. Hij kan geld van zijn rekening overmaken. Het verzoek aan de bank is vervalst omdat het gebruikmaakt van hetzelfde sessietoken van de gebruiker. Over het algemeen is het belangrijk om te weten hoe de website te beschermen tegen CSRF-aanvallen in webontwikkeling.
Wat is het verschil tussen XSS en CSRF?
XSS staat voor Cross Site Scripting en CSRF staat voor Cross Site Request Forgery. XSS is een type computerbeveiligingskwetsbaarheid in webtoepassingen waarmee aanvallers client-side scripts kunnen injecteren in webpagina's die door andere gebruikers worden bekeken. CSRF is een type kwaadwillige activiteit van een hacker of een website die niet-geautoriseerde opdrachten verzendt die de webtoepassing van de gebruiker vertrouwt. Ook vereist XSS JavaScript om de kwaadaardige code te schrijven, terwijl de CSRF geen JavaScript vereist.
Bovendien accepteert de site in XSS de schadelijke code terwijl in CSRF de schadelijke code wordt opgeslagen op de sites van derden. Dit is het belangrijkste verschil tussen XSS en CSRF. Meestal is een site die kwetsbaar is voor een aanval met XSS ook kwetsbaar voor de CSRF-aanval. Een site met bescherming tegen XSS kan echter nog steeds kwetsbaar zijn voor CSRF-aanvallen.
Samenvatting - XSS versus CSRF
XSS en CSRF zijn twee soorten aanvallen op een website. XSS staat voor Cross Site Scripting terwijl CSRF staat voor Cross Site Request Forgery. Het verschil tussen XSS en CSRF is dat de site in XSS de schadelijke code accepteert, terwijl in CSRF de schadelijke code wordt opgeslagen op de sites van derden..
Referentie:
1.DrapsTV. XSS Tutorial # 2 - Non Persistent Scripts (Reflected XSS), DrapsTV, 23 januari 2015. Beschikbaar Hier
2. Wat is CSRF ?, Hacksplaining, 4 maart 2017. Beschikbaar Hier
3.DrapsTV. XSS Tutorial # 3 - Persistent Scripts, DrapsTV, 26 januari 2015. Beschikbaar Hier
4.DrapsTV. XSS-tutorial # 1 - Wat is cross-site scripten ?, DrapsTV, 22 januari 2015. Beschikbaar Hier
Afbeelding met dank aan:
1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) via Flickr
