ძირითადი განსხვავება XSS-სა და CSRF-ს შორის არის ის, რომ XSS-ში (ან Cross Site Scripting), საიტი იღებს მავნე კოდს, ხოლო CSRF-ში (ან Cross Site Request Forgery-ში), მავნე კოდი ინახება მესამეში. წვეულების საიტები. XSS არის კომპიუტერული უსაფრთხოების დაუცველობის ტიპი ვებ აპლიკაციებში, რომელიც საშუალებას აძლევს თავდამსხმელებს შეიყვანონ კლიენტის მხარის სკრიპტები სხვა მომხმარებლების მიერ ნანახ ვებგვერდებში. მეორეს მხრივ, CSRF არის ჰაკერის ან ვებსაიტის მავნე აქტივობის ტიპი, რომელიც გადასცემს არაავტორიზებულ ბრძანებებს, რომლებსაც მომხმარებლის ვებ აპლიკაცია ენდობა.
ვებ დეველოპმენტი არის ვებსაიტის დაპროგრამების პროცესი კლიენტის მოთხოვნების შესაბამისად.ყველა ორგანიზაცია ინახავს ვებგვერდებს. ეს საიტები ხელს უწყობს ბიზნესის გაუმჯობესებას და მოგების მიღებას. ამავდროულად, შეიძლება იყოს საფრთხეები, რომლებიც გავლენას ახდენენ ვებსაიტის ფუნქციონირებაზე. ორი მათგანია XSS და CSRF.
რა არის XSS?
XSS არის კოდის ინექციის შეტევა, რომელიც შეაქვს მავნე კოდს ვებსაიტში. ეს არის ერთ-ერთი ყველაზე გავრცელებული ვებსაიტის თავდასხმა. მას შეუძლია გავლენა მოახდინოს ვებსაიტზე და ასევე შეიძლება გავლენა იქონიოს ამ ვებსაიტის მომხმარებლებზე. სხვა სიტყვებით რომ ვთქვათ, როდესაც ვებსაიტზე ხდება XSS შეტევა, ეს კოდი შესრულდება ამ ვებსაიტის მომხმარებლებს ბრაუზერის მიერ.
სურათი 01: XSS შეტევა
ერთი გავრცელებული ენა XSS-ისთვის მავნე კოდის დასაწერად არის JavaScript. XSS-ს შეუძლია მომხმარებლის ქუქიების მოპარვა. მას შეუძლია შეცვალოს ვებგვერდი, რათა გამოიყურებოდეს და მოიქცეს განსხვავებულად. გარდა ამისა, მას შეუძლია აჩვენოს მავნე პროგრამების ჩამოტვირთვები და შეცვალოს მომხმარებლის პარამეტრები.
არსებობს XSS შეტევების ორი ტიპი. მათ უწოდებენ მუდმივ და არამდგრადს. მუდმივი XSS შეტევისას, მავნე კოდი ინახება ვებსაიტის მონაცემთა ბაზაში. მომხმარებელს შეუძლია მასზე წვდომა ყოველგვარი ცოდნის გარეშე. არასტაბილური XSS შეტევას ასევე უწოდებენ Reflected XSS. ის აგზავნის მავნე სკრიპტს HTTP მოთხოვნის სახით. ეს არის XSS-ის ორი ძირითადი ტიპი.
რა არის CSRF?
საიტში არის კლიენტის მხარე და სერვერის მხარე. ვებ გვერდები, ფორმები განთავსებულია კლიენტის მხარეს. სერვერის მხარე ასრულებს მოქმედებას, როდესაც მომხმარებელი მოქმედებს. სერვერის მხარე იღებს მოთხოვნებს სხვა ვებსაიტებიდანაც.
CSRF შეტევა ატყუებს მომხმარებელს მესამე მხარის საიტზე არსებულ გვერდზე ან სკრიპტთან ურთიერთობისთვის. ის შექმნის მავნე მოთხოვნას მომხმარებლის საიტზე. მაგრამ სერვერი ვარაუდობს, რომ ეს არის მოთხოვნა ავტორიზებული ვებსაიტიდან. როდესაც მომხმარებელი მიიღებს მას, თავდამსხმელს შეუძლია აიღოს კონტროლი მოთხოვნაში გაგზავნილი მონაცემების გამოყენებით.
ერთი მაგალითი შემდეგია.მომხმარებელი შედის მის საბანკო ანგარიშზე. ბანკი მას სესიის ჟეტონს აძლევს. ჰაკერს შეუძლია მოატყუოს მომხმარებელი, დააწკაპუნოს ყალბ ბმულზე, რომელიც მიუთითებს ბანკზე. როდესაც მომხმარებელი დააჭერს ბმულს, ის იყენებს წინა სესიის ჟეტონს. შემდეგ, ჰაკერის მოთხოვნა შესრულდება და მომხმარებლის ანგარიში გატეხილია. მას შეუძლია ფულის გადარიცხვა თავისი ანგარიშიდან. ბანკის მიმართ მოთხოვნა გაყალბებულია, რადგან ის იყენებს მომხმარებლის იგივე სესიის ტოკენს. ზოგადად, მნიშვნელოვანია იცოდეთ როგორ დავიცვათ ვებ გვერდი CSRF შეტევისგან ვებ დეველოპმენტში.
რა განსხვავებაა XSS-სა და CSRF-ს შორის?
XSS ნიშნავს Cross Site Scripting-ს, ხოლო CSRF ნიშნავს Cross Site Request Forgery-ს. XSS არის კომპიუტერული უსაფრთხოების დაუცველობის ტიპი ვებ აპლიკაციებში, რომელიც საშუალებას აძლევს თავდამსხმელებს შეიყვანონ კლიენტის მხარის სკრიპტები სხვა მომხმარებლების მიერ ნანახ ვებგვერდებში. CSRF არის ჰაკერის ან ვებსაიტის მავნე აქტივობის ტიპი, რომელიც გადასცემს არაავტორიზებულ ბრძანებებს, რომლებსაც მომხმარებლის ვებ აპლიკაცია ენდობა. ასევე, XSS მოითხოვს JavaScript-ს მავნე კოდის დასაწერად, ხოლო CSRF არ საჭიროებს JavaScript-ს.
უფრო მეტიც, XSS-ში საიტი იღებს მავნე კოდს, ხოლო CSRF-ში მავნე კოდი ინახება მესამე მხარის საიტებზე. ეს არის მთავარი განსხვავება XSS-სა და CSRF-ს შორის. ჩვეულებრივ, საიტი, რომელიც დაუცველია XSS შეტევის მიმართ, ასევე დაუცველია CSRF შეტევის მიმართ. თუმცა, საიტი, რომელსაც აქვს დაცვა XSS-ისგან, მაინც შეიძლება იყოს დაუცველი CSRF შეტევების მიმართ.
რეზიუმე – XSS vs CSRF
XSS და CSRF არის ორი ტიპის თავდასხმა ვებსაიტზე. XSS ნიშნავს Cross Site Scripting-ს, ხოლო CSRF ნიშნავს Cross Site Request Forgery-ს. განსხვავება XSS-სა და CSRF-ს შორის არის ის, რომ XSS-ში საიტი იღებს მავნე კოდს, ხოლო CSRF-ში მავნე კოდი ინახება მესამე მხარის საიტებზე.
