በXSS እና በCSRF መካከል ያለው ቁልፍ ልዩነት በXSS (ወይም የጣቢያ ስክሪፕት) ጣቢያው ተንኮል አዘል ኮድ ሲቀበል በCSRF (ወይም የጣቢያ መስቀለኛ ጥያቄ ማጭበርበር) ተንኮል-አዘል ኮድ በሶስተኛው ውስጥ ይከማቻል። የፓርቲ ቦታዎች. XSS አጥቂዎች በሌሎች ተጠቃሚዎች በሚታዩ ድረ-ገጾች ላይ ከደንበኛ ጎን ስክሪፕቶችን እንዲያስገቡ የሚያስችል የኮምፒውተር ደህንነት ተጋላጭነት አይነት ነው። በሌላ በኩል፣ CSRF የተጠቃሚው ድር መተግበሪያ የሚያምናቸው ያልተፈቀዱ ትዕዛዞችን የሚያስተላልፍ የጠላፊ ወይም የድር ጣቢያ ተንኮል አዘል እንቅስቃሴ አይነት ነው።
የድር ልማት በደንበኛው መስፈርት መሰረት ድህረ ገጽ የማዘጋጀት ሂደት ነው።እያንዳንዱ ድርጅት ድር ጣቢያዎችን ይይዛል. እነዚህ ድረ-ገጾች ንግዱን ለማሻሻል እና ትርፍ ለማግኘት ይረዳሉ. በተመሳሳይ ጊዜ የድረ-ገጹን ተግባር የሚነኩ ማስፈራሪያዎች ሊኖሩ ይችላሉ። ሁለቱ XSS እና CSRF ናቸው። ናቸው።
XSS ምንድን ነው?
XSS ተንኮል-አዘል ኮድ ወደ ድህረ ገጹ የሚያስገባ የኮድ መርፌ ጥቃት ነው። በጣም ከተለመዱት የድር ጣቢያ ጥቃቶች አንዱ ነው። ድህረ ገጹን ሊነካ ይችላል እና የዚያ ድር ጣቢያ ተጠቃሚዎችንም ሊነካ ይችላል። በሌላ አነጋገር፣ በድረ-ገጹ ላይ የኤክስኤስኤስ ጥቃት ሲደርስ ይህ ኮድ በአሳሹ የድህረ ገጽ ተጠቃሚዎች ላይ ይፈጸማል።
ስእል 01፡ XSS ጥቃት
ለXSS ተንኮል አዘል ኮድ ለመጻፍ አንድ የተለመደ ቋንቋ ጃቫ ስክሪፕት ነው። XSS የተጠቃሚውን ኩኪዎች ሊሰርቅ ይችላል። ድረ-ገጹን በተለየ መልኩ እንዲታይ እና እንዲታይ ሊያስተካክለው ይችላል። በተጨማሪም የማልዌር ውርዶችን ማሳየት እና የተጠቃሚውን መቼት መቀየር ይችላል።
ሁለት አይነት የXSS ጥቃቶች አሉ። እነሱ የማያቋርጥ እና የማያቋርጥ ተብለው ይጠራሉ. ቀጣይነት ባለው የXSS ጥቃት፣ ተንኮል-አዘል ኮድ በድር ጣቢያው የውሂብ ጎታ ውስጥ ተከማችቷል። ተጠቃሚው ያለ ምንም እውቀት ሊደርስበት ይችላል። ያልተቋረጠ የኤክስኤስኤስ ጥቃት Reflected XSS ተብሎም ይጠራል። ተንኮል አዘል ስክሪፕቱን እንደ HTTP ጥያቄ ይልካል። እነዚህ በXSS ውስጥ ዋናዎቹ ሁለት ዓይነቶች ናቸው።
CSRF ምንድን ነው?
በድር ጣቢያ ውስጥ የደንበኛ ጎን እና የአገልጋዩ ጎን አለ። ድረ-ገጾቹ, ቅጾች በደንበኛው በኩል ናቸው. ተጠቃሚው ሲሰራ የአገልጋዩ ጎን አንድ ድርጊት ይፈጽማል። የአገልጋይ ወገን ከሌሎች ድር ጣቢያዎችም ጥያቄዎችን ይቀበላል።
CSRF ማጥቃት ተጠቃሚው በሶስተኛ ወገን ጣቢያ ላይ ካለው ገጽ ወይም ስክሪፕት ጋር እንዲገናኝ ያታልለዋል። ለተጠቃሚው ጣቢያ ተንኮል አዘል ጥያቄን ይፈጥራል። ነገር ግን አገልጋዩ ከተፈቀደለት ድህረ ገጽ የመጣ ጥያቄ እንደሆነ ይገምታል። ተጠቃሚው ሲቀበለው አጥቂ በጥያቄው ውስጥ የተላከውን ውሂብ በመጠቀም መቆጣጠር ይችላል።
አንዱ ምሳሌ የሚከተለው ነው።ተጠቃሚው ወደ የባንክ ሂሳቡ ይገባል። ባንኩ የክፍለ ጊዜ ማስመሰያ ይሰጠዋል. ጠላፊ ተጠቃሚው ወደ ባንክ የሚያመለክት የውሸት አገናኝ ላይ ጠቅ እንዲያደርግ ሊያታልል ይችላል። ተጠቃሚው አገናኙን ጠቅ ሲያደርግ የቀደመውን ክፍለ ጊዜ ማስመሰያ ይጠቀማል። ከዚያ የጠላፊው ጥያቄ ይፈጸማል እና የተጠቃሚ መለያው ተጠልፏል። ከሂሳቡ ገንዘብ ማስተላለፍ ይችላል። ለባንኩ የቀረበው ጥያቄ የተጠቃሚውን ተመሳሳይ የክፍለ ጊዜ ቶከን ስለሚጠቀም ተጭበረበረ። በአጠቃላይ፣ በድር ልማት ውስጥ ድህረ ገጹን ከCSRF ጥቃት እንዴት መጠበቅ እንደሚቻል ማወቅ አስፈላጊ ነው።
በXSS እና CSRF መካከል ያለው ልዩነት ምንድን ነው?
XSS የመስቀል ሳይት ስክሪፕት ማለት ሲሆን CSRF ደግሞ የመስቀለኛ ጣቢያ ጥያቄ ፎርጀሪ ማለት ነው። XSS አጥቂዎች በሌሎች ተጠቃሚዎች በሚታዩ ድረ-ገጾች ውስጥ የደንበኛ-ጎን ስክሪፕቶችን እንዲያስገቡ የሚያስችል የኮምፒዩተር ደህንነት ተጋላጭነት አይነት ነው። CSRF የተጠቃሚው ድረ-ገጽ የሚያምናቸው ያልተፈቀዱ ትዕዛዞችን የሚያስተላልፍ የጠላፊ ወይም የድር ጣቢያ ተንኮል አዘል እንቅስቃሴ አይነት ነው። እንዲሁም XSS ተንኮል አዘል ኮድ ለመጻፍ ጃቫ ስክሪፕት ያስፈልገዋል፣ ሲኤስአርኤፍ ግን ጃቫስክሪፕት አያስፈልገውም።
ከበለጠ በXSS ውስጥ ጣቢያው ተንኮል-አዘል ኮድ ሲቀበል በCSRF ውስጥ ተንኮል-አዘል ኮድ በሶስተኛ ወገን ጣቢያዎች ውስጥ ተከማችቷል። ይህ በ XSS እና CSRF መካከል ያለው ዋና ልዩነት ነው. ብዙውን ጊዜ፣ ለXSS ጥቃት የተጋለጠ ጣቢያ እንዲሁ ለCSRF ጥቃት የተጋለጠ ነው። ነገር ግን፣ ከXSS ጥበቃ ያለው ጣቢያ አሁንም ለCSRF ጥቃቶች የተጋለጠ ሊሆን ይችላል።
ማጠቃለያ - XSS vs CSRF
XSS እና CSRF በድር ጣቢያ ላይ የሚደርሱ ሁለት አይነት ጥቃቶች ናቸው። XSS የሳይት አቋራጭ ስክሪፕት ሲሆን CSRF ደግሞ የሳይት ክሮስ ጥያቄ ፎርጀሪ ነው። በXSS እና በCSRF መካከል ያለው ልዩነት በXSS ውስጥ ጣቢያው ተንኮል አዘል ኮድ ሲቀበል በCSRF ውስጥ ተንኮል-አዘል ኮድ በሶስተኛ ወገን ጣቢያዎች ውስጥ ይከማቻል።