Dallimi kryesor midis XSS dhe CSRF është se, në XSS (ose Scripting i ndërsjellë i sitit), faqja pranon kodin keqdashës ndërsa, në CSRF (ose Falsifikim i Kërkesës së Ndërfaqes), kodi me qëllim të keq ruhet në të tretën faqet e partive. XSS është një lloj dobësie e sigurisë kompjuterike në aplikacionet në internet që u mundëson sulmuesve të injektojnë skriptet e klientit në faqet e internetit të shikuara nga përdorues të tjerë. Nga ana tjetër, CSRF është një lloj aktiviteti keqdashës i një hakeri ose një uebsajti që transmeton komanda të paautorizuara që aplikacioni ueb i përdoruesit do t'u besojë.
Zhvillimi i uebit është procesi i programimit të një faqe interneti sipas kërkesave të klientit. Çdo organizatë mirëmban faqet e internetit. Këto faqe interneti ndihmojnë për të përmirësuar biznesin dhe për të fituar fitim. Në të njëjtën kohë, mund të ketë kërcënime që ndikojnë në funksionalitetin e faqes në internet. Dy prej tyre janë XSS dhe CSRF.
Çfarë është XSS?
XSS është një sulm i injektimit të kodit që injekton kod me qëllim të keq në faqen e internetit. Është një nga sulmet më të zakonshme të faqeve të internetit. Mund të ndikojë në faqen e internetit dhe gjithashtu mund të prekë përdoruesit e asaj faqe interneti. Me fjalë të tjera, kur ka një sulm XSS në faqen e internetit, ai kod do të ekzekutohet në përdoruesit e asaj faqe interneti nga shfletuesi.
Figura 01: Sulmi XSS
Një gjuhë e zakonshme për të shkruar kodin keqdashës për XSS është JavaScript. XSS mund të vjedhë kukit e përdoruesit. Mund të modifikojë faqen e internetit që të duket dhe të sillet ndryshe. Për më tepër, ai mund të shfaqë shkarkime malware dhe të ndryshojë cilësimet e përdoruesit.
Ka dy lloje sulmesh XSS. Ato quhen të vazhdueshme dhe jo të vazhdueshme. Në sulmin e vazhdueshëm XSS, kodi me qëllim të keq ruhet në bazën e të dhënave të internetit. Përdoruesi mund të hyjë në të pa ndonjë njohuri. Sulmi jo i vazhdueshëm XSS quhet gjithashtu i reflektuar XSS. Ai dërgon skriptin me qëllim të keq si një kërkesë HTTP. Këto janë dy llojet kryesore në XSS.
Çfarë është CSRF?
Në një faqe interneti ka anën e klientit dhe anën e serverit. Faqet e internetit, formularët janë në anën e klientit. Ana e serverit kryen një veprim kur përdoruesi vepron. Ana e serverit merr kërkesa edhe nga faqet e tjera të internetit.
Sulmi CSRF mashtron përdoruesin për të bashkëvepruar me një faqe ose një skript në një sajt të palës së tretë. Do të gjenerojë një kërkesë me qëllim të keq në faqen e përdoruesit. Por serveri supozon se është një kërkesë nga një faqe interneti e autorizuar. Kur përdoruesi e pranon atë, një sulmues mund të marrë kontrollin mbi përdorimin e të dhënave të dërguara në kërkesë.
Një shembull është si më poshtë. Një përdorues hyn në llogarinë e tij bankare. Banka i siguron atij një shenjë sesioni. Një haker mund të mashtrojë përdoruesin për të klikuar në një lidhje të rreme që tregon bankën. Kur përdoruesi klikon lidhjen, ai përdor shenjën e sesionit të mëparshëm. Më pas, kërkesa e hakerit ekzekutohet dhe llogaria e përdoruesit hakerohet. Ai mund të transferojë para nga llogaria e tij. Kërkesa drejtuar bankës është e falsifikuar pasi përdor të njëjtin token sesioni të përdoruesit. Në përgjithësi, është e rëndësishme të dini se si të mbroni uebsajtin nga sulmet CSRF në zhvillimin e uebit.
Cili është ndryshimi midis XSS dhe CSRF?
XSS do të thotë "Skriptimi i faqeve të kryqëzuara" dhe CSRF do të thotë "Falsifikim i kërkesës së sitit të kryqëzuar". XSS është një lloj dobësie e sigurisë kompjuterike në aplikacionet në internet që u mundëson sulmuesve të injektojnë skriptet e klientit në faqet e internetit të shikuara nga përdorues të tjerë. CSRF është një lloj aktiviteti keqdashës i një hakeri ose një uebsajti që transmeton komanda të paautorizuara që aplikacioni në internet i përdoruesit do t'i besojë. Gjithashtu, XSS kërkon JavaScript për të shkruar kodin me qëllim të keq, ndërsa CSRF nuk kërkon JavaScript.
Për më tepër, në XSS, sajti pranon kodin keqdashës ndërsa në CSRF, kodi me qëllim të keq ruhet në sajtet e palëve të treta. Ky është ndryshimi kryesor midis XSS dhe CSRF. Zakonisht, një sajt që është i prekshëm ndaj sulmit XSS është gjithashtu i prekshëm ndaj sulmit CSRF. Megjithatë, një sajt që ka mbrojtje nga XSS ende mund të jetë i cenueshëm ndaj sulmeve CSRF.
Përmbledhje – XSS vs CSRF
XSS dhe CSRF janë dy lloje sulmesh ndaj një faqe interneti. XSS do të thotë "Skriptimi i faqeve të kryqëzuara" ndërsa CSRF do të thotë "Falsifikim i kërkesës së sitit të kryqëzuar". Dallimi midis XSS dhe CSRF është se, në XSS, sajti pranon kodin keqdashës ndërsa, në CSRF, kodi me qëllim të keq ruhet në sajtet e palëve të treta.
