XSS va CSRF o'rtasidagi farq

Mundarija:

XSS va CSRF o'rtasidagi farq
XSS va CSRF o'rtasidagi farq

Video: XSS va CSRF o'rtasidagi farq

Video: XSS va CSRF o'rtasidagi farq
Video: Безопасность и защита сайта от угроз и взлома..14 CSRF-атака. Защита 2024, Dekabr
Anonim

XSS va CSRF oʻrtasidagi asosiy farq shundaki, XSS (yoki Cross Site Scripting) da sayt zararli kodni qabul qiladi, CSRF (yoki Cross Site Request Forgery) da zararli kod uchinchi versiyada saqlanadi. partiya saytlari. XSS veb-ilovalardagi kompyuter xavfsizligi zaifligining bir turi bo'lib, tajovuzkorlarga boshqa foydalanuvchilar tomonidan ko'riladigan veb-sahifalarga mijoz tomonidagi skriptlarni kiritish imkonini beradi. Boshqa tomondan, CSRF foydalanuvchi veb-ilovasi ishonadigan ruxsatsiz buyruqlarni uzatuvchi xaker yoki veb-saytning zararli faoliyati turidir.

Veb-ishlab chiqish bu veb-saytni mijoz talablariga muvofiq dasturlash jarayonidir. Har bir tashkilot veb-saytlarni yuritadi. Ushbu veb-saytlar biznesni yaxshilashga va daromad olishga yordam beradi. Shu bilan birga, veb-saytning funksionalligiga ta'sir qiladigan tahdidlar bo'lishi mumkin. Ulardan ikkitasi XSS va CSRF.

XSS nima?

XSS - bu veb-saytga zararli kodni kiritadigan kod kiritish hujumi. Bu eng keng tarqalgan veb-sayt hujumlaridan biridir. Bu veb-saytga ta'sir qilishi va ushbu veb-sayt foydalanuvchilariga ham ta'sir qilishi mumkin. Boshqacha qilib aytadigan bo'lsak, veb-saytga XSS hujumi sodir bo'lganda, ushbu kod brauzer tomonidan ushbu veb-sayt foydalanuvchilarida ishlaydi.

XSS va CSRF o'rtasidagi farq
XSS va CSRF o'rtasidagi farq

01-rasm: XSS hujumi

XSS uchun zararli kod yozish uchun umumiy tillardan biri bu JavaScript. XSS foydalanuvchining cookie fayllarini o'g'irlashi mumkin. U veb-sahifani boshqacha ko'rinish va harakat qilish uchun o'zgartirishi mumkin. Bundan tashqari, u zararli dasturlarni yuklab olishlarini koʻrsatishi va foydalanuvchi sozlamalarini oʻzgartirishi mumkin.

XSS hujumlarining ikki turi mavjud. Ular doimiy va turg'un bo'lmagan deb ataladi. Doimiy XSS hujumida zararli kod veb-sayt ma'lumotlar bazasida saqlanadi. Foydalanuvchi unga hech qanday ma'lumotsiz kirishi mumkin. Doimiy bo'lmagan XSS hujumi Reflected XSS deb ham ataladi. U zararli skriptni HTTP so'rovi sifatida yuboradi. Bular XSSdagi asosiy ikki tur.

CSRF nima?

Veb-saytda mijoz tomoni va server tomoni mavjud. Veb-sahifalar, shakllar mijoz tomonida. Server tomoni foydalanuvchi harakat qilganda harakatni amalga oshiradi. Server tomoni boshqa veb-saytlardan ham soʻrovlar oladi.

CSRF hujumi foydalanuvchini uchinchi tomon saytidagi sahifa yoki skript bilan ishlashga undaydi. U foydalanuvchining saytiga zararli so'rovni yaratadi. Ammo server buni vakolatli veb-sayt so'rovi deb hisoblaydi. Foydalanuvchi uni qabul qilganda, tajovuzkor so‘rovda yuborilgan ma’lumotlardan foydalanish ustidan nazoratni o‘z qo‘liga oladi.

Bitta misol quyidagicha. Foydalanuvchi o'z bank hisobiga kiradi. Bank unga seans tokenini beradi. Xaker bankka ishora qiluvchi soxta havolani bosish uchun foydalanuvchini aldashi mumkin. Foydalanuvchi havolani bosganida, u avvalgi seans tokenidan foydalanadi. Keyin xakerning so'rovi bajariladi va foydalanuvchi hisobi buziladi. U o'z hisobidan pul o'tkazishi mumkin. Bankka so'rov soxta hisoblanadi, chunki u foydalanuvchining bir xil seans tokenidan foydalanadi. Umuman olganda, veb-saytni ishlab chiqishda veb-saytni CSRF hujumidan qanday himoya qilishni bilish muhimdir.

XSS va CSRF oʻrtasidagi farq nima?

XSS - Cross Site Scripting, CSRF - Cross Site Request Forgery degan ma'noni anglatadi. XSS veb-ilovalardagi kompyuter xavfsizligi zaifligining bir turi bo'lib, bu tajovuzkorlarga boshqa foydalanuvchilar tomonidan ko'riladigan veb-sahifalarga mijoz tomonidagi skriptlarni kiritish imkonini beradi. CSRF - bu foydalanuvchi veb-ilovasi ishonadigan ruxsatsiz buyruqlarni uzatuvchi xaker yoki veb-saytning zararli faoliyati. Bundan tashqari, XSS zararli kodni yozish uchun JavaScript-ni talab qiladi, CSRF esa JavaScript-ni talab qilmaydi.

Bundan tashqari, XSSda sayt zararli kodni qabul qiladi, CSRFda esa zararli kod uchinchi tomon saytlarida saqlanadi. Bu XSS va CSRF o'rtasidagi asosiy farq. Odatda, XSS hujumiga qarshi zaif bo'lgan sayt CSRF hujumiga ham zaifdir. Biroq, XSS dan himoyalangan sayt hali ham CSRF hujumlariga qarshi himoyasiz bo‘lishi mumkin.

Jadval shaklida XSS va CSRF o'rtasidagi farq
Jadval shaklida XSS va CSRF o'rtasidagi farq

Xulosa – XSS va CSRF

XSS va CSRF veb-saytga hujumlarning ikki turidir. XSS saytlararo skriptni anglatadi, CSRF esa Cross Site Request Forgery degan ma'noni anglatadi. XSS va CSRF o'rtasidagi farq shundaki, XSSda sayt zararli kodni qabul qiladi, CSRFda esa zararli kod uchinchi tomon saytlarida saqlanadi.

Tavsiya: