Кључна разлика: КССС и ЦСРФ су двије врсте сигурносних пропуста. КССС је скраћеница за Цросс-Сите Сцриптинг. ЦСРФ је скраћеница за Кривотворење захтева за више локација. У КССС-у, хакер користи предност коју има корисник за одређени веб сајт. С друге стране, у ЦСРФ-у хакер користи предност веб сајта за одређени претраживач корисника.
КССС је скраћеница за Цросс-Сите Сцриптинг. Цросс Сите Сцриптинг је безбедносни подвиг у коме злонамерни хакер убацује скрипте у динамички облик. Сада се сматра најчешћом сигурносном рањивошћу која се налази на веб-локацијама. У КССС-у хакер убацује злонамерни скрипт на страни клијента на веб сајт. Ова скрипта се додаје да би изазвала неку врсту угрожености жртве.
Нападачи или хакери користе ЈаваСцрипт, ВБСцрипт, АцтивеКс, ХТМЛ или Фласх за ову сврху. Када је напад успешан, хакер може да нанесе штету на много начина. Напримјер, нападач може отети рачун или чак промијенити корисничке поставке. Уобичајени пример КССС-а може се видети тамо где се за ту сврху користи злонамерни линк. Креира се веза која садржи скривени злонамерни код и од корисника се тражи да кликне на њега. Ако корисник кликне на њега, злонамерни код се извршава на клијентовом веб претраживачу.
Нападе на скриптовање на више локација могу се поделити на два типа -
- Постојаност - У овој врсти рањивости, злонамјерни подаци се трајно похрањују у базу података, а касније им приступају и покрећу жртве без икаквог знања о томе.
- Нон-персистент - У овој врсти рањивости, подаци које пружа злонамерни хакер користе се на тој инстанци без одлагања.
ЦСРФ је скраћеница за Кривотворење захтева за више локација. Познат је и као напад једним кликом или вожња сесије. Искоришћава поверење циљаног веб-сајта према кориснику. Злонамерни напад је дизајниран на такав начин да корисник шаље злонамерне захтеве на циљну веб локацију без знања о нападу. Одређени број задатака може бити извршен од стране нападача који користи ЦСРФ, на пример, неки садржаји могу бити постављени на огласну таблу, акције се могу трговати и чак е-картица може бити послата поштом. Један од најчешћих начина за извршење ЦСРФ напада је да користите ХТМЛ ознаку слике или ЈаваСцрипт објекат слике.
Ова врста рањивости није ограничена само на претраживаче. Злонамерно скриптирање се може извршити и преко ворд документа, Фласх датотеке, филма итд. Неке од важних карактеристика ЦСРФ-а укључују -
- Није обавезно да жртва буде пријављена јер зависи од намјере нападача.
- Нападач може да генерише више захтева до циљног сајта.
- Он ради изузетно добро са другим врстама напада.
- Генерално, нападач не може да прочита податке са нападнутог сајта и то служи као ограничење за ЦСРФ.
Поређење између КССС и ЦСРФ:
КССС | ЦСРФ | |
Пуни облик | Цросс-Сите Сцриптинг | Кривотворење захтева за више сајтова |
Дефиниција | У КССС-у хакер убацује злонамерни скрипт на страни клијента. Ова скрипта се додаје да би изазвала неку врсту угрожености жртве. | Искориштава поверење циљаног веб-сајта у корисника. Злонамерни напад је дизајниран на такав начин да корисник шаље злонамерне захтеве на циљну веб локацију без знања о нападу. |
Зависност | Убацивање произвољних података у податке који нису валидирани | О функционалности и карактеристикама претраживача за преузимање и извршавање пакета напада |
Захтев за ЈаваСцрипт | да | Не |
Стање | Прихватање злонамерног кода на сајтовима | Злонамерни код се налази на сајтовима трећих страна |
Рањивост | Сајт који је рањив на КССС нападе је такође рањив на ЦСРФ нападе | Сајт који је потпуно заштићен од КССС типова напада је и даље најизложенији ЦСРФ нападима. |