Key Difference: XSS และ CSRF เป็นช่องโหว่ความปลอดภัยของคอมพิวเตอร์สองประเภท XSS ย่อมาจาก Cross-Site Scripting CSRF ย่อมาจากการปลอมแปลงคำขอข้ามไซต์ ใน XSS แฮ็กเกอร์ใช้ประโยชน์จากความไว้วางใจที่ผู้ใช้มีสำหรับเว็บไซต์บางแห่ง ในทางกลับกันใน CSRF แฮ็กเกอร์ใช้ประโยชน์จากความเชื่อถือของเว็บไซต์สำหรับเบราว์เซอร์ของผู้ใช้บางราย
XSS ย่อมาจาก Cross-Site Scripting Cross Site Scripting เป็นช่องโหว่ด้านความปลอดภัยซึ่งแฮกเกอร์ประสงค์ร้ายจะแทรกสคริปต์ลงในฟอร์มที่มีการเปลี่ยนแปลง ขณะนี้กำลังถูกพิจารณาว่าเป็นช่องโหว่ด้านความปลอดภัยที่พบมากที่สุดที่พบในเว็บไซต์ ใน XSS แฮ็กเกอร์แทรกสคริปต์ฝั่งไคลเอ็นต์ที่เป็นอันตรายลงในเว็บไซต์ สคริปต์นี้ถูกเพิ่มเข้ามาเพื่อทำให้เกิดช่องโหว่บางรูปแบบต่อผู้ที่ตกเป็นเหยื่อ
ผู้โจมตีหรือแฮกเกอร์ใช้ JavaScript, VBScript, ActiveX, HTML หรือ Flash เพื่อจุดประสงค์นี้ เมื่อการโจมตีสำเร็จแฮ็คเกอร์สามารถสร้างอันตรายได้หลายวิธี ตัวอย่างเช่นผู้โจมตีอาจจี้บัญชีหรือเปลี่ยนการตั้งค่าของผู้ใช้ ตัวอย่างทั่วไปของ XSS สามารถดูได้ว่ามีการใช้ลิงก์ที่เป็นอันตรายเพื่อจุดประสงค์นั้นหรือไม่ ลิงก์ที่มีรหัสที่เป็นอันตรายซ่อนอยู่จะถูกสร้างขึ้นและผู้ใช้จะถูกขอให้คลิก หากผู้ใช้คลิกมันรหัสที่เป็นอันตรายจะถูกดำเนินการบนเว็บเบราว์เซอร์ของลูกค้า
การโจมตีสคริปต์ข้ามไซต์สามารถแบ่งออกได้เป็นสองประเภทคือ
- ถาวร - ในช่องโหว่ประเภทนี้ข้อมูลที่เป็นอันตรายจะถูกจัดเก็บอย่างถาวรในฐานข้อมูลและเข้าถึงได้ในภายหลังและดำเนินการโดยผู้ที่ตกเป็นเหยื่อโดยไม่ต้องมีความรู้ใด ๆ
- ไม่ถาวร - ในช่องโหว่ประเภทนี้ข้อมูลจากแฮกเกอร์ที่เป็นอันตรายจะถูกใช้ในกรณีพิเศษนั้นโดยไม่ชักช้า
CSRF ย่อมาจากการปลอมแปลงคำขอข้ามไซต์ เป็นที่รู้จักกันว่าโจมตีคลิกเดียวหรือขี่เซสชั่น ใช้ประโยชน์จากความไว้วางใจของผู้ใช้เว็บไซต์ที่กำหนดเป้าหมาย การโจมตีที่เป็นอันตรายได้รับการออกแบบในลักษณะที่ผู้ใช้ส่งคำขอที่เป็นอันตรายไปยังเว็บไซต์เป้าหมายโดยไม่ต้องมีความรู้เกี่ยวกับการโจมตี ผู้โจมตีสามารถใช้งาน CSRF ได้จำนวนหนึ่งตัวอย่างเช่นเนื้อหาบางอย่างสามารถโพสต์ลงในกระดานข้อความสามารถซื้อขายหุ้นและแม้กระทั่งสามารถส่งอีเมลได้ หนึ่งในวิธีที่พบได้บ่อยที่สุดในการโจมตี CSRF คือการใช้แท็กรูปภาพ HTML หรือวัตถุรูปภาพ JavaScript
ช่องโหว่ประเภทนี้ไม่ จำกัด เฉพาะเบราว์เซอร์เท่านั้น สคริปต์ที่เป็นอันตรายสามารถทำได้ผ่านเอกสารคำไฟล์ Flash, ภาพยนตร์ ฯลฯ คุณสมบัติที่สำคัญบางประการของ CSRF ได้แก่ -
- ไม่จำเป็นต้องให้ผู้เสียหายเข้าสู่ระบบเนื่องจากขึ้นอยู่กับความตั้งใจของผู้โจมตี
- ผู้โจมตีสามารถสร้างคำขอได้หลายคำขอไปยังไซต์เป้าหมาย
- มันทำงานได้ดีมากกับการโจมตีประเภทอื่น
- โดยทั่วไปแล้วข้อมูลจากไซต์ที่ถูกโจมตีไม่สามารถอ่านได้โดยผู้โจมตีและนี่เป็นข้อ จำกัด สำหรับ CSRF
การเปรียบเทียบระหว่าง XSS และ CSRF:
XSS | CSRF | |
แบบเต็ม | การเขียนสคริปต์ข้ามไซต์ | การปลอมแปลงคำขอข้ามไซต์ |
คำนิยาม | ใน XSS แฮ็กเกอร์ฉีดสคริปต์ฝั่งไคลเอ็นต์ที่เป็นอันตรายในเว็บไซต์ สคริปต์นี้ถูกเพิ่มเข้ามาเพื่อทำให้เกิดช่องโหว่บางรูปแบบต่อผู้ที่ตกเป็นเหยื่อ | ใช้ประโยชน์จากความไว้วางใจของเว็บไซต์เป้าหมายในผู้ใช้ การโจมตีที่เป็นอันตรายได้รับการออกแบบในลักษณะที่ผู้ใช้ส่งคำขอที่เป็นอันตรายไปยังเว็บไซต์เป้าหมายโดยไม่ต้องมีความรู้เกี่ยวกับการโจมตี |
เมืองขึ้น | การฉีดข้อมูลตามอำเภอใจโดยข้อมูลที่ไม่ผ่านการตรวจสอบ | ในการทำงานและคุณสมบัติของเบราว์เซอร์เพื่อดึงและดำเนินการโจมตีกลุ่ม |
ข้อกำหนดของ JavaScript | ใช่ | ไม่ |
เงื่อนไข | การยอมรับของรหัสที่เป็นอันตรายจากเว็บไซต์ | รหัสที่เป็นอันตรายอยู่ในเว็บไซต์บุคคลที่สาม |
ความอ่อนแอ | เว็บไซต์ที่มีความเสี่ยงต่อการโจมตี XSS ก็มีความเสี่ยงที่จะถูกโจมตีด้วย CSRF | ไซต์ที่ได้รับการป้องกันอย่างสมบูรณ์จากการโจมตีประเภท XSS นั้นยังคงมีความเสี่ยงต่อการถูกโจมตีจาก CSRF มากที่สุด |