La diferència clau entre XSS i CSRF és que, a XSS (o Cross Site Scripting), el lloc accepta el codi maliciós mentre que, a CSRF (o Cross Site Request Forgery), el codi maliciós s'emmagatzema al tercer llocs de festes. L'XSS és un tipus de vulnerabilitat de seguretat informàtica a les aplicacions web que permet als atacants injectar scripts del costat del client a les pàgines web vistes per altres usuaris. D' altra banda, CSRF és un tipus d'activitat maliciosa d'un pirata informàtic o d'un lloc web que transmet ordres no autoritzades en les quals confiarà l'aplicació web de l'usuari.
El desenvolupament web és el procés de programació d'un lloc web segons els requisits del client. Totes les organitzacions mantenen llocs web. Aquests llocs web ajuden a millorar el negoci i a obtenir beneficis. Al mateix temps, hi pot haver amenaces que afectin la funcionalitat del lloc web. Dos d'ells són XSS i CSRF.
Què és XSS?
XSS és un atac d'injecció de codi que injecta codi maliciós al lloc web. És un dels atacs de llocs web més comuns. Pot afectar el lloc web i també pot afectar els usuaris d'aquest lloc web. És a dir, quan hi ha un atac XSS al lloc web, aquest codi s'executarà als usuaris d'aquest lloc web mitjançant el navegador.
Figura 01: atac XSS
Un llenguatge comú per escriure codi maliciós per a XSS és JavaScript. XSS pot robar les galetes de l'usuari. Pot modificar la pàgina web perquè es vegi i es comporti de manera diferent. A més, pot mostrar les baixades de programari maliciós i canviar la configuració de l'usuari.
Hi ha dos tipus d'atacs XSS. S'anomenen persistents i no persistents. En un atac XSS persistent, el codi maliciós s'emmagatzema a la base de dades del lloc web. L'usuari pot accedir-hi sense cap coneixement. L'atac XSS no persistent també s'anomena XSS reflectit. Envia l'script maliciós com a sol·licitud HTTP. Aquests són els dos tipus principals de XSS.
Què és CSRF?
En un lloc web, hi ha un costat del client i el costat del servidor. Les pàgines web, els formularis es troben al costat del client. El costat del servidor realitza una acció quan l'usuari actua. El costat del servidor també rep sol·licituds d' altres llocs web.
L'atac CSRF enganya l'usuari perquè interactuï amb una pàgina o un script d'un lloc de tercers. Generarà una sol·licitud maliciosa al lloc de l'usuari. Però el servidor assumeix que es tracta d'una sol·licitud d'un lloc web autoritzat. Quan l'usuari ho accepta, un atacant pot prendre el control de l'ús de les dades enviades a la sol·licitud.
Un exemple és el següent. Un usuari inicia sessió al seu compte bancari. El banc li proporciona un testimoni de sessió. Un pirata informàtic pot enganyar l'usuari perquè faci clic en un enllaç fals que apunta al banc. Quan l'usuari fa clic a l'enllaç, utilitza el testimoni de sessió anterior. Aleshores, la sol·licitud del pirata informàtic s'executa i el compte d'usuari és piratejat. Pot transferir diners des del seu compte. La sol·licitud al banc es falsifica ja que utilitza el mateix testimoni de sessió de l'usuari. En general, és important saber com protegir el lloc web dels atacs CSRF en el desenvolupament web.
Quina diferència hi ha entre XSS i CSRF?
XSS significa Cross Site Scripting i CSRF significa Cross Site Request Forgery. XSS és un tipus de vulnerabilitat de seguretat informàtica a les aplicacions web que permet als atacants injectar scripts del costat del client a les pàgines web vistes per altres usuaris. CSRF és un tipus d'activitat maliciosa d'un pirata informàtic o d'un lloc web que transmet ordres no autoritzades en les quals confiarà l'aplicació web de l'usuari. A més, XSS requereix JavaScript per escriure el codi maliciós mentre que el CSRF no requereix JavaScript.
A més, a XSS, el lloc accepta el codi maliciós mentre que a CSRF, el codi maliciós s'emmagatzema als llocs de tercers. Aquesta és la diferència principal entre XSS i CSRF. Normalment, un lloc que és vulnerable a l'atac XSS també és vulnerable a l'atac CSRF. Tanmateix, un lloc que té protecció contra XSS encara pot ser vulnerable als atacs CSRF.
Resum: XSS vs CSRF
XSS i CSRF són dos tipus d'atac a un lloc web. XSS significa Cross Site Scripting mentre que CSRF significa Cross Site Request Forgery. La diferència entre XSS i CSRF és que, a XSS, el lloc accepta el codi maliciós mentre que, a CSRF, el codi maliciós s'emmagatzema als llocs de tercers.