Peamised erinevused: XSS ja CSRF on kahte tüüpi arvutiturbe haavatavusi. XSS tähistab saidi skripte. CSRF tähistab kohapealset päringu võltsimist. XSSis kasutab häkker kasutaja usaldust teatud veebisaidi suhtes. Teisest küljest kasutab CSRF häkker veebisaidi usaldust teatud kasutaja brauseri vastu.
XSS tähistab saidi skripte. Cross Site Scripting on turvaelement, kus pahatahtlik häkker lisab skriptid dünaamilisse vormi. Praegu peetakse seda kõige levinumaks turvalisuse haavatavuseks, mis leitakse veebilehtedel. XSS-is süstib häkker pahatahtliku kliendipoolse skripti veebilehele. See skript on lisatud, et tekitada ohvrile mingit haavatavust.
Ründajad või häkkerid kasutavad selleks JavaScripti, VBScripti, ActiveXi, HTML-i või Flashi. Kui rünnak on edukas, võib häkker kahjustada mitmel viisil. Näiteks võib ründaja kontot kaaperdada või isegi kasutaja seadeid muuta. XSS-i tavalist näidet võib näha, kus selleks kasutatakse pahatahtlikku linki. Luuakse peidetud pahatahtliku koodi sisaldav link ja kasutajal palutakse seda klõpsata. Kui kasutaja seda klõpsab, rakendatakse pahatahtlikku koodi kliendi veebibrauseris.
Saididevahelisi skriptide rünnakuid saab jagada laialdaselt kaheks:
- Püsiv - sellises haavatavuses talletatakse pahatahtlikud andmed andmebaasis püsivalt ning hiljem saavad ohvrid neile juurde pääseda ja neid haldavad, ilma et sellest oleks teada.
- Püsiv - sellises haavatavuses kasutatakse pahatahtliku häkkeri esitatud andmeid viivitamata.
CSRF tähistab kohapealset päringu võltsimist. Seda tuntakse ka ühe klõpsuga rünnakuna või istungil. See kasutab ära sihitud veebisaidi usaldust kasutaja vastu. Pahatahtlik rünnak on kavandatud nii, et kasutaja saadab sihtrühma veebisaidile pahatahtlikke päringuid ilma rünnakut teadmata. CSRF-i kasutav ründaja võib teostada mitmeid ülesandeid, näiteks võib mõnda sisu postitada teadetetahvlile, varusid saab kaubelda ja isegi e-kaarti saab saata. Üks levinumaid viise CSRF-i rünnaku tegemiseks on kasutada HTML-pildi märgist või JavaScript-pildiobjekti.
Selline haavatavus ei piirdu ainult brauseritega. Pahatahtlikku skriptimist saab teha ka Wordi dokumendi, Flash-faili, filmi jne kaudu. Mõned CSRF-i olulised omadused on järgmised:
- Ohvri sisselogimine ei ole kohustuslik, kuna see sõltub ründaja kavatsusest.
- Ründaja saab sihtlehele genereerida mitu taotlust.
- See toimib väga hästi teiste rünnakutüüpidega.
- Üldiselt ei saa ründaja andmeid rünnatud saidilt lugeda ja see on CSRF-i piirang.
XSS ja CSRF võrdlus:
XSS | CSRF | |
Täisvorm | Kohapealne skriptimine | Kohapealne tellimuse võltsimine |
Määratlus | XSSis süstib häkker veebisaidile pahatahtliku kliendipoolse skripti. See skript on lisatud, et tekitada ohvrile mingit haavatavust. | See kasutab ära sihitud veebisaidi usaldust kasutaja vastu. Pahatahtlik rünnak on kavandatud nii, et kasutaja saadab sihtrühma veebisaidile pahatahtlikke päringuid ilma rünnakut teadmata. |
Sõltuvus | Meelevaldsete andmete süstimine valideerimata andmetega | Brauseri funktsionaalsuse ja funktsioonide kohta rünnaku paketi allalaadimiseks ja täitmiseks |
JavaScript-i nõue | Jah | Ei |
Seisund | Pahatahtliku koodi vastuvõtmine saitidel | Pahatahtlik kood asub kolmandate osapoolte saitidel |
Haavatavus | Samuti on CSRF-i rünnakute suhtes tundlik XSS-rünnakute suhtes tundlik sait | Sait, mis on täielikult kaitstud XSS-tüüpi rünnakute eest, on tõenäoliselt CSRF-i rünnakute suhtes tundlik. |