temel fark XSS ve CSRF arasında, XSS'de (veya Siteler Arası Komut Dizisinde), site kötü amaçlı kodu kabul ederken CSRF'de (veya Siteler Arası İstek Sahteciliğinde) kötü amaçlı kod üçüncü taraf sitelerinde depolanır. XSS, web uygulamalarında, saldırganların istemci tarafı komut dosyalarını diğer kullanıcılar tarafından görüntülenen web sayfalarına enjekte etmesini sağlayan bir tür bilgisayar güvenlik açığıdır. Öte yandan CSRF, bir bilgisayar korsanının veya web sitesinin, kullanıcının web uygulamasının güveneceği yetkisiz komutları ileten bir tür kötü amaçlı etkinliktir.
Web geliştirme, bir web sitesini istemci gereksinimlerine göre programlama işlemidir. Her kuruluşun web siteleri vardır. Bu web siteleri işi geliştirmeye ve kar elde etmeye yardımcı olur. Aynı zamanda, web sitesinin işlevselliğini etkileyen tehditler olabilir. Bunlardan ikisi XSS ve CSRF.
1. Genel Bakış ve Temel Fark
2. XSS nedir
3. CSRF nedir
4. Yan Yana Karşılaştırma - Tablo Şeklinde XSS vs CSRF
5. Özeti
XSS, web sitesine kötü amaçlı kod ekleyen bir kod enjeksiyon saldırısıdır. En yaygın web sitesi saldırılarından biridir. Web sitesini etkileyebilir ve bu web sitesinin kullanıcılarını da etkileyebilir. Başka bir deyişle, web sitesinde bir XSS saldırısı olduğunda, bu kod bu web sitesinin kullanıcılarında tarayıcı tarafından yürütülür.
Şekil 01: XSS Saldırısı
XSS için kötü amaçlı kod yazmak için yaygın bir dil JavaScript'tir. XSS kullanıcının çerezlerini çalabilir. Web sayfasını farklı görünecek ve davranacak şekilde değiştirebilir. Ayrıca, kötü amaçlı yazılım indirmelerini görüntüleyebilir ve kullanıcı ayarlarını değiştirebilir.
İki tür XSS saldırısı vardır. Bunlara kalıcı ve kalıcı olmayan denir. İçinde kalıcı XSS saldırısı, kötü amaçlı kod web sitesi veritabanında saklanır. Kullanıcı herhangi bir bilgi olmadan ona erişebilir. kalıcı olmayan XSS saldırısı böyle de adlandırılır Yansıyan XSS. Kötü amaçlı komut dosyasını bir HTTP isteği olarak gönderir. Bunlar XSS'deki ana iki tür.
Bir web sitesinde, bir istemci tarafı ve sunucu tarafı vardır. Web sayfaları, formlar istemci tarafındadır. Sunucu tarafı kullanıcı hareket ettiğinde bir eylem gerçekleştirir. Sunucu tarafı diğer web sitelerinden de istek alır.
CSRF saldırısı, kullanıcıyı üçüncü taraf bir sitedeki bir sayfa veya komut dosyasıyla etkileşimde bulunmaya yönlendirir. Kullanıcının sitesine kötü amaçlı bir istek oluşturur. Ancak sunucu, bunun yetkili bir web sitesinden gelen bir istek olduğunu varsayar. Kullanıcı kabul ettiğinde, bir saldırgan istekte gönderilen verileri kullanarak kontrolü ele geçirebilir.
Bir örnek şöyledir. Bir kullanıcı banka hesabına giriş yapar. Banka ona bir oturum jetonu veriyor. Bir hacker kullanıcıyı bankaya işaret eden sahte bir bağlantıyı tıklaması için kandırabilir. Kullanıcı bağlantıyı tıklattığında, önceki oturum belirtecini kullanır. Ardından, bilgisayar korsanının isteği yürütülür ve kullanıcı hesabı saldırıya uğrar. Hesabından para aktarabilir. Bankaya talep, kullanıcının oturumun aynı belirtecini kullandığı için yapılır. Genel olarak, web sitesinin web geliştirmede CSRF saldırısından nasıl korunacağını bilmek önemlidir.
XSS, Siteler Arası Komut Dosyası anlamına gelir ve CSRF, Siteler Arası İstek Sahteciliği anlamına gelir. XSS, web uygulamalarında, saldırganların istemci tarafı komut dosyalarını diğer kullanıcılar tarafından görüntülenen web sayfalarına enjekte etmesini sağlayan bir tür bilgisayar güvenlik açığıdır. CSRF, bir bilgisayar korsanının veya web sitesinin, kullanıcının web uygulamasının güveneceği yetkisiz komutları ileten bir tür kötü amaçlı etkinliktir. Ayrıca, CSRF JavaScript gerektirmezken XSS JavaScript'in kötü amaçlı kod yazmasını gerektirir.
Ayrıca, XSS'de site, CSRF'de kötü amaçlı kodu kabul ederken, kötü amaçlı kod üçüncü taraf sitelerinde saklanır. Bu XSS ve CSRF arasındaki temel farktır. Genellikle, XSS saldırısına karşı savunmasız olan bir site de CSRF saldırısına karşı savunmasızdır. Ancak, XSS'den korunan bir site hala CSRF saldırılarına karşı savunmasız olabilir.
XSS ve CSRF bir web sitesine iki tür saldırıdır. XSS Siteler Arası Komut Dosyası anlamına gelirken CSRF Siteler Arası İstek Sahteciliği anlamına gelir. XSS ve CSRF arasındaki fark, XSS'de sitenin kötü amaçlı kodu kabul ederken, CSRF'de kötü amaçlı kodun üçüncü taraf sitelerinde depolanmasıdır.
1.DrapsTV. XSS Eğitimi # 2 - Kalıcı Olmayan Komut Dosyaları (Yansıyan XSS), DrapsTV, 23 Ocak 2015. Buradan erişebilirsiniz
2. CSRF Nedir ?, Hacksplaining, 4 Mart 2017. Buradan erişilebilir
3.DrapsTV. XSS Tutorial # 3 - Kalıcı Komut Dosyaları, DrapsTV, 26 Ocak 2015. Buradan ulaşabilirsiniz
4.DrapsTV. XSS Eğitimi # 1 - Siteler Arası Komut Dosyası Nedir ?, DrapsTV, 22 Ocak 2015. Buradan ulaşabilirsiniz
1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) Flickr aracılığıyla