Perbedaan utama: XSS dan CSRF adalah dua jenis kerentanan keamanan komputer. XSS adalah singkatan dari Cross-Site Scripting. CSRF adalah kepalsuan Permintaan Lintas Situs. Di XSS, peretas memanfaatkan kepercayaan yang dimiliki pengguna untuk situs web tertentu. Di sisi lain, dalam CSRF, peretas memanfaatkan kepercayaan situs web untuk peramban pengguna tertentu.
XSS adalah singkatan dari Cross-Site Scripting. Cross Site Scripting adalah eksploitasi keamanan di mana peretas jahat memasukkan skrip ke dalam bentuk dinamis. Sekarang sedang dianggap sebagai kerentanan keamanan paling umum yang ditemukan di situs web. Di XSS, seorang hacker menyuntikkan skrip sisi klien jahat ke situs web. Skrip ini ditambahkan untuk menyebabkan beberapa bentuk kerentanan terhadap korban.
Penyerang atau peretas menggunakan JavaScript, VBScript, ActiveX, HTML atau Flash untuk tujuan ini. Setelah serangan berhasil, peretas dapat menyebabkan kerusakan dalam banyak hal. Misalnya, penyerang dapat membajak akun atau bahkan mengubah pengaturan pengguna. Contoh umum XSS dapat dilihat di mana tautan jahat digunakan untuk tujuan itu. Tautan yang berisi kode berbahaya tersembunyi dibuat, dan pengguna diminta mengkliknya. Jika pengguna mengkliknya, kode jahat dijalankan di browser web klien.
Serangan skrip lintas situs dapat dibagi menjadi dua jenis -
- Gigih - Dalam jenis kerentanan ini, data jahat disimpan secara permanen di database dan kemudian diakses dan dijalankan oleh para korban tanpa memiliki pengetahuan tentang itu.
- Non-persistent - Dalam jenis kerentanan ini, data yang disediakan oleh peretas jahat digunakan pada contoh khusus itu tanpa penundaan.
CSRF adalah kepalsuan Permintaan Lintas Situs. Itu juga dikenal sebagai serangan satu-klik atau sesi naik. Itu mengambil keuntungan dari kepercayaan situs web yang ditargetkan pada pengguna. Serangan jahat dirancang sedemikian rupa sehingga pengguna mengirimkan permintaan jahat ke situs web target tanpa memiliki pengetahuan tentang serangan itu. Sejumlah tugas dapat dilakukan oleh penyerang memanfaatkan CSRF, misalnya, beberapa konten dapat diposting ke papan pesan, stok dapat diperdagangkan dan bahkan e-card dapat dikirimkan. Salah satu cara paling umum untuk melakukan serangan CSRF adalah dengan menggunakan tag gambar HTML atau objek gambar JavaScript.
Kerentanan semacam ini tidak hanya terbatas pada browser. Scripting jahat juga dapat dilakukan melalui dokumen kata, file Flash, film, dll. Beberapa fitur penting dari CSRF termasuk -
- Itu tidak wajib bagi korban untuk login karena tergantung pada niat penyerang.
- Beberapa permintaan dapat dihasilkan oleh penyerang ke situs target.
- Ini bekerja sangat baik dengan jenis serangan lainnya.
- Secara umum, data dari situs yang diserang tidak dapat dibaca oleh penyerang dan ini berfungsi sebagai batasan untuk CSRF.
Perbandingan antara XSS dan CSRF:
XSS | CSRF | |
Wujud sempurna | Script Lintas Situs | Pemalsuan Permintaan Lintas Situs |
Definisi | Di XSS, seorang hacker menyuntikkan skrip sisi klien jahat di situs web. Skrip ini ditambahkan untuk menyebabkan beberapa bentuk kerentanan terhadap korban. | Itu mengambil keuntungan dari kepercayaan situs web yang ditargetkan pada pengguna. Serangan jahat dirancang sedemikian rupa sehingga pengguna mengirim permintaan jahat ke situs web target tanpa memiliki pengetahuan tentang serangan itu. |
Ketergantungan | Injeksi data sewenang-wenang oleh data yang tidak divalidasi | Pada fungsi dan fitur browser untuk mengambil dan menjalankan bundel serangan |
Persyaratan JavaScript | iya nih | Tidak |
Kondisi | Penerimaan kode berbahaya oleh situs | Kode berbahaya terletak di situs pihak ketiga |
Kerentanan | Situs yang rentan terhadap serangan XSS juga rentan terhadap serangan CSRF | Situs yang sepenuhnya terlindungi dari serangan tipe XSS kemungkinan besar masih rentan terhadap serangan CSRF. |