A principal diferença entre XSS e CSRF é que, em XSS (ou Cross Site Scripting), o site aceita o código malicioso enquanto, em CSRF (ou Cross Site Request Forgery), o código malicioso é armazenado no terceiro sites de festas. O XSS é um tipo de vulnerabilidade de segurança do computador em aplicativos da Web que permite que invasores injetem scripts do lado do cliente em páginas da Web visualizadas por outros usuários. Por outro lado, CSRF é um tipo de atividade maliciosa de um hacker ou site que transmite comandos não autorizados nos quais o aplicativo da web do usuário confiará.
Desenvolvimento Web é o processo de programação de um site de acordo com os requisitos do cliente. Toda organização mantém sites. Esses sites ajudam a melhorar o negócio e a obter lucro. Ao mesmo tempo, pode haver ameaças que afetam a funcionalidade do site. Dois deles são XSS e CSRF.
O que é XSS?
XSS é um ataque de injeção de código que injeta código malicioso no site. É um dos ataques a sites mais comuns. Pode afetar o site e também pode afetar os usuários desse site. Em outras palavras, quando houver um ataque XSS no site, esse código será executado nos usuários desse site pelo navegador.
Figura 01: Ataque XSS
Uma linguagem comum para escrever código malicioso para XSS é JavaScript. XSS pode roubar os cookies do usuário. Ele pode modificar a página da Web para parecer e se comportar de maneira diferente. Além disso, ele pode exibir downloads de malware e alterar as configurações do usuário.
Existem dois tipos de ataques XSS. Eles são chamados de persistentes e não persistentes. No ataque XSS persistente, o código malicioso é armazenado no banco de dados do site. O usuário pode acessá-lo sem nenhum conhecimento. O ataque XSS não persistente também é chamado de XSS refletido. Ele envia o script malicioso como uma solicitação HTTP. Esses são os dois principais tipos em XSS.
O que é CSRF?
Em um site, existe o lado do cliente e o lado do servidor. As páginas da web, os formulários estão no lado do cliente. O lado do servidor executa uma ação quando o usuário age. O lado do servidor também recebe solicitações de outros sites.
O ataque CSRF engana o usuário para interagir com uma página ou um script em um site de terceiros. Ele irá gerar uma solicitação maliciosa para o site do usuário. Mas o servidor assume que é uma solicitação de um site autorizado. Quando o usuário aceita, um invasor pode assumir o controle usando os dados enviados na solicitação.
Um exemplo é o seguinte. Um usuário faz login em sua conta bancária. O banco fornece a ele um token de sessão. Um hacker pode enganar o usuário para clicar em um link falso que aponta para o banco. Quando o usuário clica no link, ele usa o token de sessão anterior. Em seguida, a solicitação do hacker é executada e a conta do usuário é invadida. Ele pode transferir dinheiro de sua conta. A solicitação ao banco é forjada, pois usa o mesmo token de sessão do usuário. No geral, é importante saber como proteger o site do ataque CSRF no desenvolvimento web.
Qual é a diferença entre XSS e CSRF?
XSS significa Cross Site Scripting e CSRF significa Cross Site Request Forgery. O XSS é um tipo de vulnerabilidade de segurança de computador em aplicativos da Web que permite que invasores injetem scripts do lado do cliente em páginas da Web visualizadas por outros usuários. CSRF é um tipo de atividade maliciosa de um hacker ou site que transmite comandos não autorizados nos quais o aplicativo da web do usuário confiará. Além disso, o XSS requer JavaScript para escrever o código malicioso, enquanto o CSRF não requer JavaScript.
Além disso, em XSS, o site aceita o código malicioso enquanto em CSRF, o código malicioso é armazenado em sites de terceiros. Esta é a principal diferença entre XSS e CSRF. Normalmente, um site vulnerável ao ataque XSS também é vulnerável ao ataque CSRF. No entanto, um site que tenha proteção contra XSS ainda pode ser vulnerável a ataques CSRF.
Resumo – XSS vs CSRF
XSS e CSRF são dois tipos de ataques a um site. XSS significa Cross Site Scripting enquanto CSRF significa Cross Site Request Forgery. A diferença entre XSS e CSRF é que, no XSS, o site aceita o código malicioso enquanto, no CSRF, o código malicioso fica armazenado nos sites de terceiros.
