XSS жана CSRF ортосундагы негизги айырма, XSS (же Cross Site Scripting) ичинде сайт зыяндуу кодду кабыл алат, ал эми CSRFде (же Cross Site Request Forgery) зыяндуу код үчүнчүдө сакталат. партия сайттары. XSS веб-тиркемелердеги компьютердик коопсуздуктун кемчилигинин бир түрү, ал чабуулчуларга башка колдонуучулар көргөн веб-баракчаларга кардар тарабындагы скрипттерди киргизүүгө мүмкүндүк берет. Башка жагынан алганда, CSRF колдонуучунун веб тиркемеси ишене турган уруксатсыз буйруктарды жөнөтүүчү хакердин же веб-сайттын зыяндуу аракетинин бир түрү.
Вебди иштеп чыгуу – бул кардар талаптарына ылайык веб-сайтты программалоо процесси. Ар бир уюм веб-сайттарды жүргүзөт. Бул веб-сайттар бизнести жакшыртууга жана киреше алууга жардам берет. Ошол эле учурда веб-сайттын иштөөсүнө таасир этүүчү коркунучтар болушу мүмкүн. Алардын экөө XSS жана CSRF.
XSS деген эмне?
XSS – веб-сайтка зыяндуу кодду киргизген кодду киргизүү чабуулу. Бул эң кеңири таралган веб-сайт чабуулдарынын бири. Бул веб-сайтка жана ошол веб-сайттын колдонуучуларына да таасир этиши мүмкүн. Башкача айтканда, веб-сайтка XSS чабуулу болгондо, ал код ошол веб-сайттын колдонуучуларында браузер аркылуу ишке ашырылат.
01-сүрөт: XSS чабуулу
XSS үчүн зыяндуу код жазуу үчүн жалпы тилдердин бири - JavaScript. XSS колдонуучунун кукилерин уурдай алат. Ал веб-баракчаны башкача карап, башкача алып жүрүш үчүн өзгөртө алат. Андан тышкары, ал кесепеттүү программаларды жүктөп алып, колдонуучунун жөндөөлөрүн өзгөртө алат.
XSS чабуулдарынын эки түрү бар. Алар туруктуу жана туруктуу эмес деп аталат. Туруктуу XSS чабуулунда зыяндуу код веб-сайттын маалымат базасында сакталат. Колдонуучу ага эч кандай билими жок кире алат. Туруктуу эмес XSS чабуулу Reflected XSS деп да аталат. Ал зыяндуу скриптти HTTP сурамы катары жөнөтөт. Бул XSSтин негизги эки түрү.
CSRF деген эмне?
Веб-сайтта кардар жана сервер тарабы бар. Веб баракчалар, формалар кардар тарапта. Колдонуучу аракет кылганда сервер тарабы бир иш-аракетти аткарат. Сервер тарап башка вебсайттардан да сурамдарды алат.
CSRF чабуулу колдонуучуну үчүнчү тараптын сайтындагы барак же скрипт менен иштешүүгө алдап берет. Бул колдонуучунун сайтына зыяндуу өтүнүчтү жаратат. Бирок сервер бул ыйгарым укуктуу веб-сайттан келген өтүнүч деп эсептейт. Колдонуучу аны кабыл алганда, чабуулчу сурамда жөнөтүлгөн дайындарды колдонууну көзөмөлдөй алат.
Бир мисал төмөндөгүдөй. Колдонуучу өзүнүн банк эсебине кирет. Банк ага сессия белгисин берет. Хакер банкты көрсөткөн жасалма шилтемени басуу үчүн колдонуучуну алдап кетиши мүмкүн. Колдонуучу шилтемени чыкылдатканда, ал мурунку сеанс белгисин колдонот. Андан кийин, хакердин өтүнүчү аткарылып, колдонуучунун аккаунту бузулат. Ал өзүнүн эсебинен акча которо алат. Банкка кайрылуу жасалма болуп саналат, анткени ал колдонуучунун ошол эле сеанс белгисин колдонот. Жалпысынан алганда, веб-иштеп чыгууда веб-сайтты CSRF чабуулунан кантип коргоону билүү маанилүү.
XSS жана CSRF ортосунда кандай айырма бар?
XSS Cross Site Scripting дегенди билдирет, ал эми CSRF Cross Site Request Forgery дегенди билдирет. XSS веб-тиркемелердеги компьютердик коопсуздуктун бир түрү, ал чабуулчуларга башка колдонуучулар көргөн веб-баракчаларга кардар тарабындагы скрипттерди киргизүүгө мүмкүндүк берет. CSRF колдонуучунун веб-тиркемеси ишене турган уруксатсыз буйруктарды жөнөтүүчү хакердин же веб-сайттын зыяндуу аракетинин бир түрү. Ошондой эле, XSS зыяндуу кодду жазуу үчүн JavaScriptти талап кылат, ал эми CSRF JavaScriptти талап кылбайт.
Мындан тышкары, XSSде сайт зыяндуу кодду кабыл алат, ал эми CSRFде зыяндуу код үчүнчү тараптын сайттарында сакталат. Бул XSS жана CSRF ортосундагы негизги айырма. Адатта, XSS чабуулуна дуушар болгон сайт CSRF чабуулуна да аялуу болот. Бирок, XSS коргоосу бар сайт дагы эле CSRF чабуулдарына дуушар болушу мүмкүн.
Кыскача – XSS жана CSRF
XSS жана CSRF веб-сайтка чабуулдун эки түрү. XSS Cross Site Scripting дегенди билдирет, ал эми CSRF Cross Site Request Forgery дегенди билдирет. XSS менен CSRF ортосундагы айырма XSSте сайт зыяндуу кодду кабыл алат, ал эми CSRFде зыяндуу код үчүнчү тараптын сайттарында сакталат.