Unterschied zwischen XSS und CSRF

Das Hauptunterschied zwischen XSS und CSRF ist das, In XSS (oder Cross Site Scripting) akzeptiert die Site den Schadcode, während in CSRF (oder Cross Site Request Forgery) der Schadcode auf den Websites von Drittanbietern gespeichert wird. Der XSS ist eine Art Sicherheitsanfälligkeit für Computer in Webanwendungen, mit der Angreifer clientseitige Skripts in Webseiten einfügen können, die von anderen Benutzern angezeigt werden. Auf der anderen Seite ist CSRF eine Art bösartiger Aktivität eines Hackers oder einer Website, die nicht autorisierte Befehle überträgt, denen die Webanwendung des Benutzers vertraut.

Webentwicklung ist der Prozess der Programmierung einer Website gemäß den Anforderungen des Kunden. Jede Organisation unterhält Websites. Diese Websites helfen, das Geschäft zu verbessern und Gewinne zu erzielen. Gleichzeitig kann es Bedrohungen geben, die die Funktionalität der Website beeinträchtigen. Zwei davon sind XSS und CSRF.

INHALT

1. Übersicht und Schlüsseldifferenz
2. Was ist XSS?
3. Was ist CSRF?
4. Side-by-Side-Vergleich - XSS und CSRF in Tabellenform
5. Zusammenfassung

Was ist XSS??

XSS ist ein Code-Injection-Angriff, der schädlichen Code in die Website einfügt. Dies ist einer der häufigsten Angriffe auf Websites. Dies kann Auswirkungen auf die Website und auch auf die Benutzer dieser Website haben. Mit anderen Worten, bei einem XSS-Angriff auf die Website wird dieser Code in den Benutzern dieser Website vom Browser ausgeführt.

Abbildung 01: XSS-Angriff

Eine häufig verwendete Sprache zum Schreiben von schädlichem Code für XSS ist JavaScript. XSS kann Cookies von Benutzern stehlen. Es kann die Webseite so verändern, dass sie anders aussieht und sich verhält. Darüber hinaus können Malware-Downloads angezeigt und Benutzereinstellungen geändert werden.

Es gibt zwei Arten von XSS-Angriffen. Sie werden als persistent und nicht persistent bezeichnet. Im persistenter XSS-Angriff, Der Schadcode wird in der Website-Datenbank gespeichert. Der Benutzer kann ohne Wissen darauf zugreifen. Das nicht persistenter XSS-Angriff wird auch genannt Reflektiertes XSS. Es sendet das schädliche Skript als HTTP-Anforderung. Dies sind die zwei Haupttypen in XSS.

Was ist CSRF??

In einer Website gibt es eine Client- und eine Serverseite. Die Webseiten, Formulare befinden sich auf der Kundenseite. Die Serverseite führt eine Aktion aus, wenn der Benutzer handelt. Die Serverseite erhält auch Anfragen von anderen Websites.

Bei einem CSRF-Angriff wird der Benutzer dazu verleitet, mit einer Seite oder einem Skript auf einer Website eines Drittanbieters zu interagieren. Es wird eine böswillige Anforderung an die Site des Benutzers generiert. Der Server geht jedoch davon aus, dass es sich um eine Anfrage von einer autorisierten Website handelt. Wenn der Benutzer dies akzeptiert, kann ein Angreifer die Kontrolle über die in der Anfrage gesendeten Daten übernehmen.

Ein Beispiel ist wie folgt. Ein Benutzer meldet sich bei seinem Bankkonto an. Die Bank stellt ihm ein Session-Token zur Verfügung. Ein Hacker kann den Benutzer dazu verleiten, auf einen falschen Link zu klicken, der auf die Bank verweist. Wenn der Benutzer auf den Link klickt, verwendet er das vorherige Sitzungstoken. Dann wird die Anfrage des Hackers ausgeführt und das Benutzerkonto wird gehackt. Er kann Geld von seinem Konto überweisen. Die Anforderung an die Bank wird gefälscht, da das gleiche Sitzungstoken des Benutzers verwendet wird. Insgesamt ist es wichtig zu wissen, wie die Website in der Webentwicklung vor CSRF-Angriffen geschützt werden kann.

Was ist der Unterschied zwischen XSS und CSRF??

XSS steht für Cross Site Scripting und CSRF steht für Cross Site Request Forgery. XSS ist eine Art Sicherheitsanfälligkeit für Computersicherheit in Webanwendungen, mit der Angreifer clientseitige Skripts in Webseiten einfügen können, die von anderen Benutzern angezeigt werden. CSRF ist eine Art von böswilliger Aktivität eines Hackers oder einer Website, die nicht autorisierte Befehle überträgt, denen die Webanwendung des Benutzers vertraut. Außerdem erfordert XSS zum Schreiben des schädlichen Codes JavaScript, während für die CSRF kein JavaScript erforderlich ist.

Darüber hinaus akzeptiert die Site in XSS den Schadcode, während in CSRF der Schadcode auf den Websites von Drittanbietern gespeichert wird. Dies ist der Hauptunterschied zwischen XSS und CSRF. Normalerweise ist eine Site, die anfällig für XSS-Angriffe ist, auch anfällig für CSRF-Angriffe. Eine Site mit Schutz vor XSS kann jedoch immer noch anfällig für CSRF-Angriffe sein.

Zusammenfassung - XSS vs CSRF

XSS und CSRF sind zwei Arten von Angriffen auf eine Website. XSS steht für Cross Site Scripting, während CSRF für Cross Site Request Forgery steht. Der Unterschied zwischen XSS und CSRF besteht darin, dass die Site in XSS den Schadcode akzeptiert, während in CSRF der Schadcode auf den Websites von Drittanbietern gespeichert wird.

Referenz:

1.DrapsTV. XSS Tutorial # 2 - Nicht persistente Skripte (Refleced XSS), DrapsTV, 23. Januar 2015. Hier verfügbar  
2.Was ist CSRF?, Hacksplaining, 4. März 2017.  Hier verfügbar 
3.DrapsTV. XSS Tutorial # 3 - Persistent Scripts, DrapsTV, 26. Januar 2015.  Hier verfügbar
4.DrapsTV. XSS-Tutorial Nr. 1 - Was ist Cross Site Scripting ?, DrapsTV, 22. Januar 2015. Hier verfügbar  

Bildhöflichkeit:

1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) über Flickr