Differenza tra XSS e CSRF

Il differenza fondamentale tra XSS e CSRF è quello, in XSS (o Cross Site Scripting), il sito accetta il codice malevolo mentre, in CSRF (o Cross Site Request Forgery), il codice dannoso viene memorizzato nei siti di terze parti. L'XSS è un tipo di vulnerabilità alla sicurezza del computer nelle applicazioni Web che consente agli aggressori di iniettare script sul lato client in pagine Web visualizzate da altri utenti. D'altra parte, CSRF è un tipo di attività dannosa di un hacker o di un sito Web che trasmette comandi non autorizzati di cui l'applicazione Web dell'utente si fida.

Lo sviluppo Web è il processo di programmazione di un sito Web in base alle esigenze del cliente. Ogni organizzazione gestisce siti Web. Questi siti Web aiutano a migliorare il business e ad ottenere profitto. Allo stesso tempo, ci possono essere minacce che influenzano la funzionalità del sito web. Due di questi sono XSS e CSRF.

CONTENUTO

1. Panoramica e differenza chiave
2. Cos'è l'XSS
3. Cos'è CSRF
4. Confronto affiancato - XSS vs CSRF in forma tabulare
5. Sommario

Cos'è l'XSS?

XSS è un attacco di iniezione di codice che inietta codice dannoso nel sito Web. È uno degli attacchi più comuni del sito web. Può influenzare il sito web e può anche influenzare gli utenti di quel sito. In altre parole, quando c'è un attacco XSS sul sito web, tale codice verrà eseguito dagli utenti di quel sito Web dal browser.

Figura 01: attacco XSS

Un linguaggio comune per scrivere codice dannoso per XSS è JavaScript. XSS può rubare i cookie dell'utente. Può modificare la pagina Web in modo che appaia e si comporti diversamente. Inoltre, può visualizzare download di malware e modificare le impostazioni dell'utente.

Esistono due tipi di attacchi XSS. Sono chiamati persistenti e non persistenti. Nel attacco XSS persistente, il codice dannoso è memorizzato nel database del sito web. L'utente potrebbe accedervi senza alcuna conoscenza. Il attacco XSS non persistente è anche chiamato XSS riflesso. Invia lo script dannoso come richiesta HTTP. Questi sono i due principali tipi di XSS.

Cos'è CSRF?

In un sito Web, c'è un lato client e il lato server. Le pagine web, i moduli sono sul lato client. Il lato server esegue un'azione quando l'utente agisce. Il lato server riceve anche richieste da altri siti web.

L'attacco CSRF induce l'utente a interagire con una pagina o uno script su un sito di terze parti. Genererà una richiesta dannosa al sito dell'utente. Ma il server presume che si tratta di una richiesta da un sito Web autorizzato. Quando l'utente lo accetta, un utente malintenzionato può assumere il controllo sull'utilizzo dei dati inviati nella richiesta.

Un esempio è il seguente. Un utente accede al proprio conto bancario. La banca gli fornisce un token di sessione. Un hacker può indurre l'utente a fare clic su un link falso che punta alla banca. Quando l'utente fa clic sul collegamento, utilizza il token di sessione precedente. Quindi, la richiesta dell'hacker viene eseguita e l'account utente viene violato. Può trasferire denaro dal suo account. La richiesta alla banca viene falsificata poiché utilizza lo stesso token di sessione dell'utente. Nel complesso, è importante sapere come proteggere il sito Web dall'attacco CSRF nello sviluppo web.

Qual è la differenza tra XSS e CSRF?

XSS è l'acronimo di Cross Site Scripting e CSRF è l'acronimo di Cross Site Request Forgery. XSS è un tipo di vulnerabilità alla sicurezza del computer nelle applicazioni Web che consente agli autori di attacchi di iniettare script sul lato client in pagine Web visualizzate da altri utenti. CSRF è un tipo di attività dannosa di un hacker o di un sito Web che trasmette comandi non autorizzati di cui l'applicazione Web dell'utente si fida. Inoltre, XSS richiede JavaScript per scrivere il codice dannoso mentre il CSRF non richiede JavaScript.

Inoltre, in XSS, il sito accetta il codice malevolo mentre in CSRF, il codice dannoso viene memorizzato nei siti di terze parti. Questa è la principale differenza tra XSS e CSRF. Di solito, un sito vulnerabile agli attacchi XSS è anche vulnerabile all'attacco CSRF. Tuttavia, un sito con protezione da XSS può ancora essere vulnerabile agli attacchi CSRF.

Riepilogo: XSS vs CSRF

XSS e CSRF sono due tipi di attacchi a un sito web. XSS è l'acronimo di Cross Site Scripting mentre CSRF è l'acronimo di Cross Site Request Forgery. La differenza tra XSS e CSRF è che, in XSS, il sito accetta il codice malevolo mentre, in CSRF, il codice dannoso viene memorizzato nei siti di terze parti.

Riferimento:

1.DrapsTV. XSS Tutorial # 2 - Script non persistenti (XSS riflesso), DrapsTV, 23 gennaio 2015. Disponibile qui  
2.Che cos'è CSRF ?, Hacksplaining, 4 marzo 2017.  Disponibile qui 
3.DrapsTV. XSS Tutorial # 3 - Persistent Scripts, DrapsTV, 26 gennaio 2015.  Disponibile qui
4.DrapsTV. XSS Tutorial # 1 - Che cosa è Cross Site Scripting ?, DrapsTV, 22 gennaio 2015. Disponibile qui  

Cortesia dell'immagine:

1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) attraverso Flickr