Sự khác biệt chính giữa XSS và CSRF là, trong XSS (hoặc Cross Site Scripting), trang web chấp nhận mã độc hại trong khi, trong CSRF (hoặc Cross Site Request Forgery), mã độc hại được lưu trữ ở phần thứ ba các trang web của đảng. XSS là một loại lỗ hổng bảo mật máy tính trong các ứng dụng web cho phép kẻ tấn công đưa các tập lệnh phía máy khách vào các trang web được người dùng khác xem. Mặt khác, CSRF là một loại hoạt động độc hại của tin tặc hoặc một trang web truyền các lệnh trái phép mà ứng dụng web của người dùng sẽ tin tưởng.
Phát triển web là quá trình lập trình một trang web theo yêu cầu của khách hàng. Mọi tổ chức đều duy trì các trang web. Những trang web này giúp cải thiện công việc kinh doanh và thu được lợi nhuận. Đồng thời, có thể có những mối đe dọa ảnh hưởng đến chức năng của trang web. Hai trong số đó là XSS và CSRF.
XSS là gì?
XSS là một cuộc tấn công tiêm mã đưa mã độc vào trang web. Đây là một trong những cuộc tấn công trang web phổ biến nhất. Nó có thể ảnh hưởng đến trang web và cũng có thể ảnh hưởng đến người dùng của trang web đó. Nói cách khác, khi có một cuộc tấn công XSS vào trang web, mã đó sẽ được trình duyệt thực thi trong người dùng của trang web đó.
Hình 01: Tấn công XSS
Một ngôn ngữ phổ biến để viết mã độc cho XSS là JavaScript. XSS có thể lấy cắp cookie của người dùng. Nó có thể sửa đổi trang web để giao diện và hoạt động khác nhau. Hơn nữa, nó có thể hiển thị tải xuống phần mềm độc hại và thay đổi cài đặt của người dùng.
Có hai loại tấn công XSS. Chúng được gọi là kiên trì và không kiên trì. Trong cuộc tấn công XSS dai dẳng, mã độc được lưu trữ trong cơ sở dữ liệu trang web. Người dùng có thể truy cập nó mà không có bất kỳ kiến thức nào. Cuộc tấn công XSS không liên tục còn được gọi là XSS phản chiếu. Nó gửi tập lệnh độc hại dưới dạng một yêu cầu HTTP. Đó là hai loại chính trong XSS.
CSRF là gì?
Trong một trang web, có một phía máy khách và phía máy chủ. Các trang web, biểu mẫu ở phía khách hàng. Phía máy chủ thực hiện một hành động khi người dùng thực hiện. Phía máy chủ cũng nhận được yêu cầu từ các trang web khác.
Cuộc tấn công CSRF đánh lừa người dùng tương tác với một trang hoặc tập lệnh trên trang web của bên thứ ba. Nó sẽ tạo ra một yêu cầu độc hại đến trang web của người dùng. Nhưng máy chủ giả định rằng đó là một yêu cầu từ một trang web được ủy quyền. Khi người dùng chấp nhận nó, kẻ tấn công có thể kiểm soát việc sử dụng dữ liệu được gửi trong yêu cầu.
Một ví dụ như sau. Một người dùng đăng nhập vào tài khoản ngân hàng của mình. Ngân hàng cung cấp cho anh ta một mã thông báo phiên. Một hacker có thể lừa người dùng nhấp vào một liên kết giả mạo trỏ đến ngân hàng. Khi người dùng nhấp vào liên kết, liên kết đó sẽ sử dụng mã thông báo phiên trước đó. Sau đó, yêu cầu của tin tặc sẽ thực thi và tài khoản người dùng bị tấn công. Anh ta có thể chuyển tiền từ tài khoản của mình. Yêu cầu gửi đến ngân hàng được giả mạo vì nó sử dụng cùng một mã thông báo phiên của người dùng. Nhìn chung, điều quan trọng là phải biết cách bảo vệ trang web khỏi cuộc tấn công CSRF trong quá trình phát triển web.
Sự khác biệt giữa XSS và CSRF là gì?
XSS là viết tắt của Cross Site Scripting và CSRF là viết tắt của Cross Site Request Forgery. XSS là một loại lỗ hổng bảo mật máy tính trong các ứng dụng web cho phép kẻ tấn công đưa các tập lệnh phía máy khách vào các trang web được người dùng khác xem. CSRF là một loại hoạt động độc hại của tin tặc hoặc trang web truyền các lệnh trái phép mà ứng dụng web của người dùng sẽ tin cậy. Ngoài ra, XSS yêu cầu JavaScript để viết mã độc hại trong khi CSRF không yêu cầu JavaScript.
Hơn nữa, trong XSS, trang web chấp nhận mã độc hại trong khi trong CSRF, mã độc hại được lưu trữ trong các trang web của bên thứ ba. Đây là sự khác biệt chính giữa XSS và CSRF. Thông thường, một trang web dễ bị tấn công XSS cũng dễ bị tấn công CSRF. Tuy nhiên, một trang web được bảo vệ khỏi XSS vẫn có thể dễ bị tấn công CSRF.
Tóm tắt - XSS vs CSRF
XSS và CSRF là hai loại tấn công vào một trang web. XSS là viết tắt của Cross Site Scripting trong khi CSRF là viết tắt của Cross Site Request Forgery. Sự khác biệt giữa XSS và CSRF là, trong XSS, trang web chấp nhận mã độc hại trong khi ở CSRF, mã độc hại được lưu trữ trong các trang web của bên thứ ba.
