XSS болон CSRF-ийн гол ялгаа нь XSS (эсвэл Cross Site Scripting)-д сайт нь хортой кодыг хүлээн авдаг бол CSRF (эсвэл Cross Site Request Forgery)-д хортой код нь гурав дахь хэсэгт хадгалагддагт оршино. үдэшлэгийн сайтууд. XSS нь вэб програмын компьютерийн аюулгүй байдлын нэг төрлийн сул тал бөгөөд халдагчид бусад хэрэглэгчдийн үзэж буй вэб хуудсанд клиент талын скрипт оруулах боломжийг олгодог. Нөгөөтэйгүүр, CSRF нь хэрэглэгчийн вэб аппликейшн итгэж болох зөвшөөрөлгүй тушаалуудыг дамжуулдаг хакер эсвэл вэб сайтын хортой үйл ажиллагааны нэг төрөл юм.
Вэб хөгжүүлэлт гэдэг нь үйлчлүүлэгчийн шаардлагын дагуу вэбсайтыг програмчлах үйл явц юм. Байгууллага бүр вэбсайтаа хөтөлдөг. Эдгээр вэбсайтууд нь бизнесийг сайжруулах, ашиг олоход тусалдаг. Үүний зэрэгцээ вэбсайтын үйл ажиллагаанд нөлөөлөх аюул заналхийлэл байж болно. Тэдгээрийн хоёр нь XSS болон CSRF.
XSS гэж юу вэ?
XSS нь вэбсайт руу хортой код оруулдаг код оруулах халдлага юм. Энэ нь вэб сайтын хамгийн түгээмэл халдлагуудын нэг юм. Энэ нь вэб сайтад нөлөөлж болохоос гадна тухайн вэбсайтын хэрэглэгчдэд ч нөлөөлж болно. Өөрөөр хэлбэл, вэб сайтад XSS халдлага гарсан тохиолдолд тухайн код нь тухайн вэб сайтын хэрэглэгчдэд хөтөчөөр ажиллана.
Зураг 01: XSS халдлага
XSS-д зориулсан хортой код бичих нийтлэг хэл бол JavaScript юм. XSS нь хэрэглэгчийн күүки хулгайлах боломжтой. Энэ нь вэб хуудсыг өөрөөр харж, биеэ авч явахын тулд өөрчилж болно. Цаашилбал, энэ нь хортой програмыг татаж авах, хэрэглэгчийн тохиргоог өөрчлөх боломжтой.
Хоёр төрлийн XSS халдлага байдаг. Тэднийг тууштай, байнгын бус гэж нэрлэдэг. Тогтвортой XSS халдлагын үед хортой код нь вэбсайтын мэдээллийн санд хадгалагддаг. Хэрэглэгч үүнд ямар ч мэдлэггүйгээр хандаж болно. Тогтворгүй XSS халдлагыг мөн Reflected XSS гэж нэрлэдэг. Энэ нь хортой скриптийг HTTP хүсэлт болгон илгээдэг. Эдгээр нь XSS-н үндсэн хоёр төрөл юм.
CSRF гэж юу вэ?
Вэб сайтад үйлчлүүлэгч тал болон сервер тал байдаг. Вэб хуудас, маягтууд нь үйлчлүүлэгчийн талд байна. Хэрэглэгч үйлдэл хийх үед серверийн тал үйлдэл хийдэг. Сервер тал бусад вэб сайтаас хүсэлт хүлээн авдаг.
CSRF халдлага нь хэрэглэгчийг гуравдагч талын сайтын хуудас эсвэл скрипттэй харьцахыг заль мэх. Энэ нь хэрэглэгчийн сайт руу хортой хүсэлт гаргах болно. Гэхдээ сервер үүнийг эрх бүхий вэбсайтаас ирсэн хүсэлт гэж үзэж байна. Хэрэглэгч үүнийг хүлээн авснаар халдагчид хүсэлтэд илгээсэн өгөгдлийг ашиглах хяналтыг авах боломжтой.
Нэг жишээ нь дараах байдалтай байна. Хэрэглэгч өөрийн банкны данс руу нэвтэрдэг. Банк түүнд сессийн жетон өгдөг. Хакер хэрэглэгчийг хууран мэхэлж, банк руу чиглэсэн хуурамч холбоос дээр дарж болно. Хэрэглэгч холбоос дээр дарах үед өмнөх сессийн жетоныг ашигладаг. Дараа нь хакерын хүсэлтийг биелүүлж, хэрэглэгчийн бүртгэлийг хакерджээ. Тэр данснаасаа мөнгө шилжүүлэх боломжтой. Банкинд илгээсэн хүсэлт нь хэрэглэгчийн ижил сессийн жетон ашигладаг тул хуурамч байна. Ерөнхийдөө вэб хөгжүүлэлтийн үед вэб сайтыг CSRF халдлагаас хэрхэн хамгаалах талаар мэдэх нь чухал юм.
XSS болон CSRF хоёрын ялгаа юу вэ?
XSS нь Cross Site Scripting гэсэн үг, CSRF нь Cross Site Request Forgery гэсэн үг юм. XSS нь вэб програмын компьютерийн аюулгүй байдлын нэг төрлийн сул тал бөгөөд халдагчид бусад хэрэглэгчдийн үзэж буй вэб хуудсанд клиент талын скрипт оруулах боломжийг олгодог. CSRF нь хэрэглэгчийн вэб аппликейшн итгэж болох зөвшөөрөлгүй тушаалуудыг дамжуулдаг хакер эсвэл вэб сайтын хортой үйл ажиллагааны нэг төрөл юм. Мөн XSS нь хортой код бичихийн тулд JavaScript-г шаарддаг бол CSRF нь JavaScript-г шаарддаггүй.
Цаашилбал, XSS-д сайт нь хортой кодыг хүлээн авдаг бол CSRF-д хортой код нь гуравдагч этгээдийн сайтуудад хадгалагддаг. Энэ бол XSS болон CSRF хоёрын гол ялгаа юм. Ихэвчлэн XSS халдлагад өртөмтгий сайт нь CSRF халдлагад өртөмтгий байдаг. Гэсэн хэдий ч XSS-ээс хамгаалагдсан сайт CSRF халдлагад өртөмтгий хэвээр байна.
Хураангуй – XSS vs CSRF
XSS болон CSRF нь вэбсайт руу чиглэсэн хоёр төрлийн халдлага юм. XSS нь Cross Site Scripting гэсэн үг бол CSRF нь Cross Site Request Forgery гэсэн үг юм. XSS болон CSRF хоёрын ялгаа нь XSS-д сайт нь хортой кодыг хүлээн авдаг бол CSRF-д хортой код нь гуравдагч этгээдийн сайтуудад хадгалагддагт оршино.