الاختلاف الرئيسي بين XSS و CSRF هو أنه في XSS (أو البرمجة النصية عبر الموقع) ، يقبل الموقع الكود الضار بينما ، في CSRF (أو Cross Site Request Forgery) ، يتم تخزين الكود الضار في الثالث مواقع الحزب. XSS هو نوع من الثغرات الأمنية في تطبيقات الويب التي تمكن المهاجمين من حقن البرامج النصية من جانب العميل في صفحات الويب التي يعرضها المستخدمون الآخرون. من ناحية أخرى ، CSRF هو نوع من النشاط الضار للمتسلل أو موقع الويب الذي ينقل أوامر غير مصرح بها سيثق بها تطبيق الويب الخاص بالمستخدم.
تطوير الويب هو عملية برمجة موقع الويب وفقًا لمتطلبات العميل.كل منظمة تحتفظ بمواقع الويب. تساعد هذه المواقع على تحسين الأعمال وجني الأرباح. في الوقت نفسه ، يمكن أن تكون هناك تهديدات تؤثر على وظائف الموقع. اثنان منهم XSS و CSRF.
ما هو XSS؟
XSS عبارة عن هجوم حقن رمز يقوم بحقن تعليمات برمجية ضارة في موقع الويب. إنها واحدة من أكثر هجمات مواقع الويب شيوعًا. يمكن أن يؤثر على موقع الويب ويمكن أن يؤثر أيضًا على مستخدمي هذا الموقع. بمعنى آخر ، عندما يكون هناك هجوم XSS على موقع الويب ، سيتم تنفيذ هذا الرمز في مستخدمي هذا الموقع عن طريق المتصفح.
الشكل 01: هجوم XSS
لغة واحدة شائعة لكتابة التعليمات البرمجية الضارة لـ XSS هي JavaScript. يمكن لـ XSS سرقة ملفات تعريف الارتباط الخاصة بالمستخدم. يمكنه تعديل صفحة الويب لتبدو وتتصرف بشكل مختلف. علاوة على ذلك ، يمكنه عرض تنزيلات البرامج الضارة وتغيير إعدادات المستخدم.
هناك نوعان من هجمات XSS. يطلق عليهم المستمر وغير المستمر. في هجوم XSS المستمر ، يتم تخزين الشفرة الضارة في قاعدة بيانات موقع الويب. يمكن للمستخدم الوصول إليها دون أي علم. يُطلق على هجوم XSS غير المستمر أيضًا اسم Reflected XSS. يرسل البرنامج النصي الضار كطلب HTTP. هذان هما النوعان الرئيسيان في XSS.
ما هو CSRF؟
في موقع الويب ، هناك جانب العميل وجانب الخادم. صفحات الويب والنماذج من جانب العميل. يقوم جانب الخادم بتنفيذ إجراء عندما يتصرف المستخدم. يتلقى جانب الخادم طلبات من مواقع الويب الأخرى أيضًا.
يخدع هجوم CSRF المستخدم للتفاعل مع صفحة أو نص برمجي على موقع طرف ثالث. سينشئ طلبًا ضارًا إلى موقع المستخدم. لكن الخادم يفترض أنه طلب من موقع ويب معتمد. عندما يقبل المستخدم ذلك ، يمكن للمهاجم أن يتحكم في استخدام البيانات المرسلة في الطلب.
أحد الأمثلة على النحو التالي.يقوم المستخدم بتسجيل الدخول إلى حسابه المصرفي. يزوده البنك برمز للجلسة. يمكن للمخترق خداع المستخدم للنقر على رابط وهمي يشير إلى البنك. عندما ينقر المستخدم على الرابط ، فإنه يستخدم رمز الجلسة السابقة. بعد ذلك ، يتم تنفيذ طلب المخترق ، ويتم اختراق حساب المستخدم. يمكنه تحويل الأموال من حسابه. الطلب إلى البنك مزور لأنه يستخدم نفس رمز الجلسة الخاص بالمستخدم. بشكل عام ، من المهم معرفة كيفية حماية موقع الويب من هجوم CSRF في تطوير الويب.
ما هو الفرق بين XSS و CSRF؟
يرمز XSS إلى Cross Site Scripting ، و CSRF تعني تزوير طلب الموقع المتقاطع. XSS هو نوع من الثغرات الأمنية في تطبيقات الويب التي تمكن المهاجمين من حقن البرامج النصية من جانب العميل في صفحات الويب التي يعرضها المستخدمون الآخرون. CSRF هو نوع من النشاط الضار للمتسلل أو موقع الويب الذي ينقل أوامر غير مصرح بها سيثق بها تطبيق الويب الخاص بالمستخدم. أيضًا ، يتطلب XSS JavaScript لكتابة التعليمات البرمجية الضارة بينما لا يتطلب CSRF JavaScript.
علاوة على ذلك ، في XSS ، يقبل الموقع الشفرة الخبيثة بينما في CSRF ، يتم تخزين الشفرة الضارة في مواقع الطرف الثالث. هذا هو الفرق الرئيسي بين XSS و CSRF. عادةً ما يكون الموقع المعرض لهجوم XSS عرضة لهجوم CSRF. ومع ذلك ، فإن الموقع الذي يتمتع بحماية من XSS لا يزال عرضة لهجمات CSRF.
ملخص - XSS مقابل CSRF
XSS و CSRF نوعان من الهجمات على موقع الويب. يرمز XSS إلى Cross Site Scripting بينما يرمز CSRF إلى Cross Site Request Forgery. الفرق بين XSS و CSRF هو أنه في XSS ، يقبل الموقع الشفرة الخبيثة بينما ، في CSRF ، يتم تخزين الشفرة الخبيثة في مواقع الطرف الثالث.
