Ang pangunahing pagkakaiba sa pagitan ng XSS at CSRF ay, sa XSS (o Cross Site Scripting), tinatanggap ng site ang malisyosong code habang, sa CSRF (o Cross Site Request Forgery), ang nakakahamak na code ay nakaimbak sa pangatlo mga site ng party. Ang XSS ay isang uri ng kahinaan sa seguridad ng computer sa mga web application na nagbibigay-daan sa mga umaatake na mag-inject ng mga script sa panig ng kliyente sa mga web page na tinitingnan ng ibang mga user. Sa kabilang banda, ang CSRF ay isang uri ng nakakahamak na aktibidad ng isang hacker o isang website na nagpapadala ng mga hindi awtorisadong command na pagtitiwalaan ng web application ng user.
Ang Web development ay ang proseso ng pagprograma ng website ayon sa mga kinakailangan ng kliyente. Ang bawat organisasyon ay nagpapanatili ng mga website. Ang mga website na ito ay tumutulong upang mapabuti ang negosyo at makakuha ng kita. Kasabay nito, maaaring may mga banta na makakaapekto sa functionality ng website. Dalawa sa mga ito ay XSS at CSRF.
Ano ang XSS?
Ang XSS ay isang pag-atake ng iniksyon ng code na naglalagay ng malisyosong code sa website. Ito ay isa sa mga pinakakaraniwang pag-atake sa web site. Maaari itong makaapekto sa website at maaari ring makaapekto sa mga gumagamit ng website na iyon. Sa madaling salita, kapag may XSS attack sa website, ang code na iyon ay isasagawa sa mga user ng website na iyon sa pamamagitan ng browser.
Figure 01: XSS Attack
Ang isang karaniwang wika para magsulat ng malisyosong code para sa XSS ay JavaScript. Maaaring nakawin ng XSS ang cookies ng user. Maaari nitong baguhin ang webpage upang iba ang hitsura at pag-uugali. Higit pa rito, maaari itong magpakita ng mga pag-download ng malware at baguhin ang mga setting ng user.
Mayroong dalawang uri ng pag-atake ng XSS. Ang mga ito ay tinatawag na persistent at non-persistent. Sa patuloy na pag-atake ng XSS, ang malisyosong code ay iniimbak sa database ng website. Maaaring ma-access ito ng user nang walang anumang kaalaman. Ang hindi paulit-ulit na pag-atake ng XSS ay tinatawag ding Reflected XSS. Ipinapadala nito ang malisyosong script bilang kahilingan sa HTTP. Iyan ang pangunahing dalawang uri sa XSS.
Ano ang CSRF?
Sa isang website, mayroong client side at server side. Ang mga web page, mga form ay nasa panig ng kliyente. Ang bahagi ng server ay nagsasagawa ng pagkilos kapag kumilos ang user. Ang panig ng server ay nakakakuha din ng mga kahilingan mula sa iba pang mga website.
CSRF attack ay nanlilinlang sa user na makipag-ugnayan sa isang page o script sa isang third party na site. Bubuo ito ng malisyosong kahilingan sa site ng user. Ngunit ipinapalagay ng server na ito ay isang kahilingan mula sa isang awtorisadong website. Kapag tinanggap ito ng user, maaaring kontrolin ng isang attacker ang paggamit ng data na ipinadala sa kahilingan.
Ang isang halimbawa ay ang mga sumusunod. Nag-log in ang isang user sa kanyang bank account. Ang bangko ay nagbibigay sa kanya ng isang session token. Maaaring linlangin ng isang hacker ang user na mag-click sa isang pekeng link na tumuturo sa bangko. Kapag nag-click ang user sa link, ginagamit nito ang nakaraang session token. Pagkatapos, ipapatupad ang kahilingan ng hacker, at na-hack ang user account. Maaari siyang maglipat ng pera mula sa kanyang account. Ang kahilingan sa bangko ay peke dahil ginagamit nito ang parehong session token ng user. Sa pangkalahatan, mahalagang malaman kung paano protektahan ang website mula sa pag-atake ng CSRF sa web development.
Ano ang Pagkakaiba sa pagitan ng XSS at CSRF?
Ang XSS ay nangangahulugang Cross Site Scripting, at ang CSRF ay kumakatawan sa Cross Site Request Forgery. Ang XSS ay isang uri ng kahinaan sa seguridad ng computer sa mga web application na nagbibigay-daan sa mga umaatake na mag-inject ng mga script sa panig ng kliyente sa mga web page na tinitingnan ng ibang mga user. Ang CSRF ay isang uri ng malisyosong aktibidad ng isang hacker o isang website na nagpapadala ng mga hindi awtorisadong command na pinagkakatiwalaan ng web application ng user. Gayundin, ang XSS ay nangangailangan ng JavaScript upang isulat ang malisyosong code habang ang CSRF ay hindi nangangailangan ng JavaScript.
Higit pa rito, sa XSS, tinatanggap ng site ang malisyosong code habang sa CSRF, ang nakakahamak na code ay nakaimbak sa mga third party na site. Ito ang pangunahing pagkakaiba sa pagitan ng XSS at CSRF. Karaniwan, ang isang site na mahina sa pag-atake ng XSS ay mahina din sa pag-atake ng CSRF. Gayunpaman, ang isang site na may proteksyon mula sa XSS ay maaari pa ring maging mahina sa mga pag-atake ng CSRF.
Buod – XSS vs CSRF
Ang XSS at CSRF ay dalawang uri ng pag-atake sa isang website. Ang XSS ay nangangahulugang Cross Site Scripting habang ang CSRF ay kumakatawan sa Cross Site Request Forgery. Ang pagkakaiba sa pagitan ng XSS at CSRF ay, sa XSS, tinatanggap ng site ang malisyosong code habang, sa CSRF, ang nakakahamak na code ay nakaimbak sa mga third party na site.
