Qhov sib txawv tseem ceeb ntawm XSS thiab CSRF yog tias, hauv XSS (lossis Hla Qhov Chaw Scripting), lub vev xaib lees txais cov lej tsis zoo thaum, hauv CSRF (lossis Hla Qhov Chaw Thov Kev Txhaum Cai), cov lej tsis zoo yog khaws cia hauv qhov thib peb tog chaw. XSS yog hom kev ruaj ntseg ntawm lub khoos phis tawj tsis zoo hauv cov ntawv thov web uas tso cai rau cov neeg tawm tsam los txhaj cov ntawv sau rau hauv cov nplooj ntawv web pom los ntawm lwm tus neeg siv. Ntawm qhov tod tes, CSRF yog ib hom kev ua phem ntawm tus neeg nyiag nkag lossis lub vev xaib uas xa cov lus txib tsis raug cai uas tus neeg siv lub vev xaib thov yuav ntseeg.
Kev txhim kho lub vev xaib yog txheej txheem ntawm kev tsim lub vev xaib raws li tus neeg siv khoom xav tau. Txhua lub koom haum tswj xyuas cov vev xaib. Cov vev xaib no pab txhim kho kev lag luam thiab kom tau txais txiaj ntsig. Tib lub sijhawm, tuaj yeem muaj kev hem thawj uas cuam tshuam rau kev ua haujlwm ntawm lub vev xaib. Ob ntawm lawv yog XSS thiab CSRF.
XSS yog dab tsi?
XSS yog qhov kev txhaj tshuaj tiv thaiv kab mob uas txhaj cov lej tsis zoo rau hauv lub vev xaib. Nws yog ib qho ntawm feem ntau lub vev xaib tawm tsam. Nws tuaj yeem cuam tshuam rau lub vev xaib thiab tuaj yeem cuam tshuam rau cov neeg siv ntawm lub vev xaib ntawd. Hauv lwm lo lus, thaum muaj XSS tawm tsam ntawm lub vev xaib, cov cai ntawd yuav ua rau cov neeg siv ntawm lub vev xaib ntawd los ntawm browser.
Daim duab 01: XSS Attack
Ib hom lus los sau cov lej tsis zoo rau XSS yog JavaScript. XSS tuaj yeem nyiag tus neeg siv lub ncuav qab zib. Nws tuaj yeem hloov kho lub vev xaib kom saib thiab coj tus cwj pwm txawv. Tsis tas li ntawd, nws tuaj yeem tso saib malware downloads thiab hloov cov neeg siv cov chaw.
Muaj ob hom kev tawm tsam XSS. Lawv hu ua persistent thiab non-persistent. Hauv kev tawm tsam XSS tsis tu ncua, tus lej tsis zoo yog khaws cia hauv lub vev xaib database. Tus neeg siv yuav nkag mus rau nws yam tsis muaj kev paub. Qhov kev tawm tsam tsis yog XSS tseem hu ua Reflected XSS. Nws xa cov ntawv tsis zoo raws li HTTP thov. Cov no yog ob hom tseem ceeb hauv XSS.
CSRF yog dab tsi?
Hauv ib lub vev xaib, muaj cov neeg siv khoom thiab sab server. Cov nplooj ntawv web, cov ntawv yog nyob ntawm tus neeg siv khoom. Sab server ua ib qho kev txiav txim thaum tus neeg siv ua. Server sab tau txais kev thov los ntawm lwm lub vev xaib ib yam nkaus.
CSRF tawm tsam ntxias tus neeg siv los cuam tshuam nrog nplooj ntawv lossis tsab ntawv ntawm lub vev xaib thib peb. Nws yuav tsim ib qho kev thov phem rau tus neeg siv lub xaib. Tab sis tus neeg rau zaub mov xav tias nws yog ib qho kev thov los ntawm lub vev xaib tso cai. Thaum tus neeg siv lees txais nws, tus neeg tawm tsam tuaj yeem tswj hwm kev siv cov ntaub ntawv xa hauv qhov kev thov.
Ib qho piv txwv yog raws li hauv qab no. Tus neeg siv nkag mus rau hauv nws tus account hauv txhab nyiaj. Lub txhab nyiaj muab nws nrog ib qho kev sib tham token. Ib tug neeg nyiag nkas tuaj yeem dag tus neeg siv los nyem rau ntawm qhov txuas cuav uas taw qhia rau lub txhab nyiaj. Thaum tus neeg siv nyem qhov txuas, nws siv qhov kev sib tham dhau los token. Tom qab ntawd, tus hacker qhov kev thov ua tiav, thiab tus neeg siv tus account raug nyiag. Nws tuaj yeem xa nyiaj los ntawm nws tus account. Qhov kev thov mus rau lub txhab nyiaj yog forged raws li nws siv tib qhov kev sib tham token ntawm tus neeg siv. Zuag qhia tag nrho, nws yog ib qho tseem ceeb kom paub yuav ua li cas los tiv thaiv lub vev xaib los ntawm CSRF nres hauv kev txhim kho lub vev xaib.
Qhov txawv ntawm XSS thiab CSRF yog dab tsi?
XSS sawv cev rau Kev Sau Npe Hla Tebchaws, thiab CSRF sawv cev rau Hla Qhov Chaw Thov Kev Txhaum Cai. XSS yog hom khoos phis tawj kev ruaj ntseg tsis zoo hauv cov ntawv thov web uas tso cai rau cov neeg tawm tsam los txhaj cov ntawv sau rau hauv cov nplooj ntawv web pom los ntawm lwm tus neeg siv. CSRF yog hom kev ua phem ntawm tus neeg nyiag nkas lossis lub vev xaib uas xa cov lus txib tsis raug cai uas tus neeg siv lub vev xaib thov yuav ntseeg. Tsis tas li, XSS xav kom JavaScript los sau cov lej tsis zoo thaum CSRF tsis xav tau JavaScript.
Tsis tas li ntawd, hauv XSS, lub vev xaib lees txais cov lej tsis zoo thaum nyob hauv CSRF, cov lej tsis zoo yog khaws cia hauv qhov chaw thib peb. Qhov no yog qhov txawv ntawm XSS thiab CSRF. Feem ntau, qhov chaw uas muaj kev cuam tshuam rau XSS nres kuj tseem muaj kev cuam tshuam rau CSRF nres. Txawm li cas los xij, qhov chaw uas muaj kev tiv thaiv los ntawm XSS tseem tuaj yeem ua rau muaj kev cuam tshuam rau CSRF.
Summary – XSS vs CSRF
XSS thiab CSRF yog ob hom kev tawm tsam rau lub vev xaib. XSS stands rau Cross Site Scripting thaum CSRF stands rau Cross Site Request Forgery. Qhov txawv ntawm XSS thiab CSRF yog tias, hauv XSS, lub vev xaib lees txais cov lej tsis zoo thaum, hauv CSRF, cov lej tsis zoo yog khaws cia rau hauv qhov chaw thib peb.
