Belangrijkste verschil: XSS en CSRF zijn twee soorten kwetsbaarheden in computerbeveiliging. XSS staat voor Cross-Site Scripting. CSRF staat voor Cross-Site Request Forgery. In XSS maakt de hacker gebruik van het vertrouwen dat een gebruiker heeft voor een bepaalde website. Aan de andere kant maakt de hacker in CSRF gebruik van het vertrouwen van een website voor de browser van een bepaalde gebruiker.
XSS staat voor Cross-Site Scripting. Cross Site Scripting is een beveiligingsexploit waarbij een kwaadwillende hacker scripts invoegt in een dynamische vorm. Het wordt nu beschouwd als het meest voorkomende beveiligingslek dat wordt aangetroffen op websites. In XSS injecteert een hacker een kwaadaardig client-side script in een website. Dit script is toegevoegd om een vorm van kwetsbaarheid voor een slachtoffer te veroorzaken.
Aanvallers of hackers gebruiken hiervoor JavaScript, VBScript, ActiveX, HTML of Flash. Zodra de aanval succesvol is, kan de hacker op vele manieren schade aanrichten. De aanvaller kan bijvoorbeeld het account kapen of zelfs de instellingen van de gebruiker wijzigen. Een algemeen voorbeeld van XSS is te zien wanneer een kwaadaardige link voor dat doel wordt gebruikt. Er wordt een koppeling met een verborgen schadelijke code gemaakt en de gebruiker wordt gevraagd erop te klikken. Als de gebruiker erop klikt, wordt de schadelijke code uitgevoerd in de webbrowser van de client.
Cross-site scripting-aanvallen kunnen grofweg in twee typen worden onderverdeeld:
- Persistent - Bij dit type kwetsbaarheid worden de kwaadaardige gegevens permanent opgeslagen in een database en worden ze later door de slachtoffers geopend en beheerd zonder dat ze daarvan op de hoogte zijn.
- Niet-persistent - In dit type kwetsbaarheid worden de gegevens die door de kwaadwillende hacker worden verstrekt, in dat specifieke geval zonder vertraging gebruikt.
CSRF staat voor Cross-Site Request Forgery. Het is ook bekend als één-klik aanval of sessie rijden. Het maakt gebruik van het vertrouwen van de getargete website op een gebruiker. Een kwaadwillige aanval is zo ontworpen dat een gebruiker kwaadwillende verzoeken naar de doelwebsite stuurt zonder kennis van de aanval te hebben. Een aantal aanvallers kan een aantal taken uitvoeren door een aanvaller die CSRF gebruikt. Sommige content kan bijvoorbeeld op een prikbord worden geplaatst, aandelen kunnen worden verhandeld en zelfs een e-card kan worden gemaild. Een van de meest gebruikelijke manieren om een CSRF-aanval uit te voeren, is door een HTML-afbeeldingstag of een JavaScript-afbeeldingobject te gebruiken.
Dit soort kwetsbaarheid is niet alleen beperkt tot browsers. Het kwaadaardige scripten kan ook worden gedaan via een woorddocument, een Flash-bestand, een film, enz. Enkele van de belangrijke kenmerken van CSRF zijn onder meer:
- Het is niet verplicht voor het slachtoffer om ingelogd te zijn, omdat dit afhangt van de intentie van de aanvaller.
- Meerdere verzoeken kunnen door de aanvaller naar de doelsite worden gegenereerd.
- Het werkt uitstekend met andere soorten aanvallen.
- Over het algemeen kunnen de gegevens van de aangevallen site niet worden gelezen door de aanvaller en dit dient als een beperking voor CSRF.
Vergelijking tussen XSS en CSRF:
XSS | CSRF | |
Volledige vorm | Cross-Site Scripting | Cross-Site Request Forgery |
Definitie | In XSS injecteert een hacker een kwaadaardig client-side script in een website. Dit script is toegevoegd om een vorm van kwetsbaarheid voor een slachtoffer te veroorzaken. | Het maakt gebruik van het vertrouwen van de getargete website in een gebruiker. Een kwaadwillige aanval is zo ontworpen dat een gebruiker kwaadwillende verzoeken naar de doelwebsite stuurt zonder kennis van de aanval. |
Afhankelijkheid | Injectie van willekeurige gegevens door gegevens die niet gevalideerd zijn | Over de functionaliteit en functies van de browser om de aanvalsbundel op te halen en uit te voeren |
Vereiste van JavaScript | Ja | Nee |
Staat | Acceptatie van de schadelijke code door de sites | Schadelijke code bevindt zich op sites van derden |
Kwetsbaarheid | Een site die kwetsbaar is voor XSS-aanvallen is ook kwetsbaar voor CSRF-aanvallen | Een site die volledig is beveiligd tegen XSS-soorten aanvallen is nog steeds zeer waarschijnlijk kwetsbaar voor CSRF-aanvallen. |