Tofauti kuu kati ya XSS na CSRF ni kwamba, katika XSS (au Cross Site Scripting), tovuti inakubali msimbo hasidi huku, katika CSRF (au Ughushi wa Ombi la Kughushi), msimbo hasidi huhifadhiwa katika sehemu ya tatu. tovuti za chama. XSS ni aina ya hatari ya usalama wa kompyuta katika programu za wavuti ambayo huwezesha washambuliaji kuingiza hati za upande wa mteja kwenye kurasa za wavuti zinazotazamwa na watumiaji wengine. Kwa upande mwingine, CSRF ni aina ya shughuli hasidi ya mdukuzi au tovuti inayotuma amri zisizoidhinishwa ambazo programu ya wavuti ya mtumiaji itaamini.
Utengenezaji wa wavuti ni mchakato wa kutayarisha tovuti kulingana na mahitaji ya mteja. Kila shirika hudumisha tovuti. Tovuti hizi husaidia kuboresha biashara na kupata faida. Wakati huo huo, kunaweza kuwa na vitisho vinavyoathiri utendaji wa tovuti. Mbili kati ya hizo ni XSS na CSRF.
XSS ni nini?
XSS ni shambulio la kudunga msimbo ambalo huingiza msimbo hasidi kwenye tovuti. Ni mojawapo ya mashambulizi ya kawaida ya tovuti. Inaweza kuathiri tovuti na pia inaweza kuathiri watumiaji wa tovuti hiyo. Kwa maneno mengine, kunapokuwa na shambulio la XSS kwenye tovuti, msimbo huo utatekelezwa kwa watumiaji wa tovuti hiyo kwa kivinjari.
Kielelezo 01: XSS Attack
Lugha moja ya kawaida ya kuandika msimbo hasidi wa XSS ni JavaScript. XSS inaweza kuiba vidakuzi vya mtumiaji. Inaweza kurekebisha ukurasa wa wavuti kuonekana na kuwa na tabia tofauti. Zaidi ya hayo, inaweza kuonyesha vipakuliwa vya programu hasidi na kubadilisha mipangilio ya mtumiaji.
Kuna aina mbili za mashambulizi ya XSS. Wanaitwa kuendelea na yasiyo ya kuendelea. Katika mashambulizi ya XSS yanayoendelea, msimbo hasidi huhifadhiwa kwenye hifadhidata ya tovuti. Mtumiaji anaweza kuipata bila maarifa yoyote. Shambulio lisilodumu la XSS pia huitwa Reflected XSS. Hutuma hati hasidi kama ombi la HTTP. Hizo ndizo aina mbili kuu katika XSS.
CSRF ni nini?
Katika tovuti, kuna upande wa mteja na upande wa seva. Kurasa za wavuti, fomu ziko upande wa mteja. Upande wa seva hufanya kitendo wakati mtumiaji anatenda. Upande wa seva hupokea maombi kutoka kwa tovuti zingine pia.
Mashambulizi ya CSRF humdanganya mtumiaji kuingiliana na ukurasa au hati kwenye tovuti ya wahusika wengine. Itatoa ombi hasidi kwa tovuti ya mtumiaji. Lakini seva inadhani kuwa ni ombi kutoka kwa tovuti iliyoidhinishwa. Mtumiaji anapoikubali, mshambulizi anaweza kudhibiti kwa kutumia data iliyotumwa katika ombi.
Mfano mmoja ni kama ifuatavyo. Mtumiaji huingia kwenye akaunti yake ya benki. Benki inampa ishara ya kikao. Mdukuzi anaweza kumdanganya mtumiaji kubofya kiungo bandia kinachoelekeza benki. Mtumiaji anapobofya kiungo, hutumia tokeni ya kipindi cha awali. Kisha, ombi la mdukuzi hutekelezwa, na akaunti ya mtumiaji imedukuliwa. Anaweza kuhamisha pesa kutoka kwa akaunti yake. Ombi kwa benki ni ghushi kwa vile inatumia tokeni ya kipindi sawa cha mtumiaji. Kwa ujumla, ni muhimu kujua jinsi ya kulinda tovuti dhidi ya mashambulizi ya CSRF katika uundaji wa wavuti.
Nini Tofauti Kati ya XSS na CSRF?
XSS inawakilisha Cross Site Scripting, na CSRF inasimamia Cross Site Request Forgery. XSS ni aina ya hatari ya usalama wa kompyuta katika programu za wavuti ambayo huwezesha washambuliaji kuingiza hati za upande wa mteja kwenye kurasa za wavuti zinazotazamwa na watumiaji wengine. CSRF ni aina ya shughuli hasidi ya mdukuzi au tovuti ambayo hutuma amri zisizoidhinishwa ambazo programu ya wavuti ya mtumiaji itaamini. Pia, XSS inahitaji JavaScript kuandika msimbo hasidi ilhali CSRF haihitaji JavaScript.
Zaidi ya hayo, katika XSS, tovuti inakubali msimbo hasidi wakati katika CSRF, msimbo hasidi huhifadhiwa katika tovuti za wahusika wengine. Hii ndio tofauti kuu kati ya XSS na CSRF. Kawaida, tovuti ambayo inaweza kushambuliwa kwa XSS pia inaweza kuathiriwa na shambulio la CSRF. Hata hivyo, tovuti ambayo ina ulinzi dhidi ya XSS bado inaweza kuathiriwa na mashambulizi ya CSRF.
Muhtasari – XSS dhidi ya CSRF
XSS na CSRF ni aina mbili za mashambulizi kwa tovuti. XSS inasimama kwa Cross Site Scripting ilhali CSRF inasimama kwa Cross Site Request Forgery. Tofauti kati ya XSS na CSRF ni kwamba, katika XSS, tovuti inakubali msimbo hasidi huku, katika CSRF, msimbo hasidi ukihifadhiwa katika tovuti za wahusika wengine.