एक्सएसएस और सीएसआरएफ के बीच महत्वपूर्ण अंतर यह है कि, एक्सएसएस (या क्रॉस साइट स्क्रिप्टिंग) में, साइट दुर्भावनापूर्ण कोड को स्वीकार करती है, जबकि सीएसआरएफ (या क्रॉस साइट अनुरोध जालसाजी) में, दुर्भावनापूर्ण कोड तीसरे में संग्रहीत होता है। पार्टी साइटों। XSS वेब अनुप्रयोगों में कंप्यूटर सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को क्लाइंट-साइड स्क्रिप्ट को अन्य उपयोगकर्ताओं द्वारा देखे गए वेब पेजों में इंजेक्ट करने में सक्षम बनाता है। दूसरी ओर, CSRF एक हैकर या वेबसाइट की एक प्रकार की दुर्भावनापूर्ण गतिविधि है जो अनधिकृत आदेशों को प्रसारित करती है जिस पर उपयोगकर्ता का वेब एप्लिकेशन भरोसा करेगा।
वेब विकास क्लाइंट की आवश्यकताओं के अनुसार वेबसाइट प्रोग्रामिंग की प्रक्रिया है।हर संगठन वेबसाइटों का रखरखाव करता है। ये वेबसाइटें व्यवसाय को बेहतर बनाने और लाभ हासिल करने में मदद करती हैं। साथ ही, ऐसे खतरे भी हो सकते हैं जो वेबसाइट की कार्यक्षमता को प्रभावित करते हैं। उनमें से दो एक्सएसएस और सीएसआरएफ हैं।
एक्सएसएस क्या है?
XSS एक कोड इंजेक्शन अटैक है जो वेबसाइट में दुर्भावनापूर्ण कोड डालता है। यह सबसे आम वेब साइट हमलों में से एक है। यह वेबसाइट को प्रभावित कर सकता है और उस वेबसाइट के उपयोगकर्ताओं को भी प्रभावित कर सकता है। दूसरे शब्दों में, जब वेबसाइट पर XSS हमला होता है, तो वह कोड उस वेबसाइट के उपयोगकर्ताओं में ब्राउज़र द्वारा निष्पादित होगा।
चित्र 01: XSS हमला
XSS के लिए दुर्भावनापूर्ण कोड लिखने की एक सामान्य भाषा जावास्क्रिप्ट है। XSS उपयोगकर्ता की कुकीज़ चुरा सकता है। यह अलग दिखने और व्यवहार करने के लिए वेबपेज को संशोधित कर सकता है। इसके अलावा, यह मैलवेयर डाउनलोड प्रदर्शित कर सकता है और उपयोगकर्ता की सेटिंग बदल सकता है।
XSS अटैक दो तरह के होते हैं। उन्हें लगातार और गैर-निरंतर कहा जाता है। लगातार XSS हमले में, दुर्भावनापूर्ण कोड वेबसाइट डेटाबेस में संग्रहीत किया जाता है। उपयोगकर्ता बिना किसी जानकारी के इसे एक्सेस कर सकता है। गैर-निरंतर XSS हमले को परावर्तित XSS भी कहा जाता है। यह दुर्भावनापूर्ण स्क्रिप्ट को HTTP अनुरोध के रूप में भेजता है। XSS में वे मुख्य दो प्रकार हैं।
सीएसआरएफ क्या है?
वेबसाइट में क्लाइंट साइड और सर्वर साइड होता है। वेब पेज, फॉर्म क्लाइंट साइड पर हैं। जब उपयोगकर्ता कार्य करता है तो सर्वर साइड एक क्रिया करता है। सर्वर साइड को अन्य वेबसाइटों से भी अनुरोध प्राप्त होते हैं।
CSRF अटैक यूजर को किसी थर्ड पार्टी साइट पर पेज या स्क्रिप्ट के साथ इंटरैक्ट करने के लिए ट्रिक करता है। यह उपयोगकर्ता की साइट पर एक दुर्भावनापूर्ण अनुरोध उत्पन्न करेगा। लेकिन सर्वर मानता है कि यह एक अधिकृत वेबसाइट से अनुरोध है। जब उपयोगकर्ता इसे स्वीकार करता है, तो एक हमलावर अनुरोध में भेजे गए डेटा का उपयोग करके नियंत्रण ले सकता है।
एक उदाहरण इस प्रकार है।एक उपयोगकर्ता अपने बैंक खाते में लॉग इन करता है। बैंक उसे एक सत्र टोकन प्रदान करता है। एक हैकर बैंक की ओर इशारा करने वाले नकली लिंक पर क्लिक करने के लिए उपयोगकर्ता को बरगला सकता है। जब उपयोगकर्ता लिंक पर क्लिक करता है, तो वह पिछले सत्र टोकन का उपयोग करता है। फिर, हैकर का अनुरोध निष्पादित होता है, और उपयोगकर्ता खाता हैक कर लिया जाता है। वह अपने खाते से पैसे ट्रांसफर कर सकता है। बैंक से अनुरोध जाली है क्योंकि वह उपयोगकर्ता के समान सत्र टोकन का उपयोग करता है। कुल मिलाकर, यह जानना महत्वपूर्ण है कि वेब विकास में वेबसाइट को सीएसआरएफ हमले से कैसे बचाया जाए।
एक्सएसएस और सीएसआरएफ में क्या अंतर है?
XSS का मतलब क्रॉस साइट स्क्रिप्टिंग है, और CSRF का मतलब क्रॉस साइट रिक्वेस्ट फोर्जरी है। XSS वेब अनुप्रयोगों में एक प्रकार की कंप्यूटर सुरक्षा भेद्यता है जो हमलावरों को क्लाइंट-साइड स्क्रिप्ट को अन्य उपयोगकर्ताओं द्वारा देखे गए वेब पेजों में इंजेक्ट करने में सक्षम बनाता है। सीएसआरएफ एक हैकर या वेबसाइट की एक प्रकार की दुर्भावनापूर्ण गतिविधि है जो अनधिकृत आदेशों को प्रसारित करती है जिस पर उपयोगकर्ता का वेब एप्लिकेशन भरोसा करेगा। साथ ही, एक्सएसएस को दुर्भावनापूर्ण कोड लिखने के लिए जावास्क्रिप्ट की आवश्यकता होती है जबकि सीएसआरएफ को जावास्क्रिप्ट की आवश्यकता नहीं होती है।
इसके अलावा, XSS में, साइट दुर्भावनापूर्ण कोड को स्वीकार करती है जबकि CSRF में, दुर्भावनापूर्ण कोड को तृतीय पक्ष साइटों में संग्रहीत किया जाता है। यह XSS और CSRF के बीच मुख्य अंतर है। आमतौर पर, एक साइट जो XSS हमले के प्रति संवेदनशील होती है, वह भी CSRF हमले के प्रति संवेदनशील होती है। हालाँकि, XSS से सुरक्षा वाली साइट अभी भी CSRF हमलों के प्रति संवेदनशील हो सकती है।
सारांश - एक्सएसएस बनाम सीएसआरएफ
XSS और CSRF एक वेबसाइट पर दो तरह के हमले हैं। XSS का मतलब क्रॉस साइट स्क्रिप्टिंग है जबकि CSRF का मतलब क्रॉस साइट रिक्वेस्ट फोर्जरी है। XSS और CSRF के बीच का अंतर यह है कि, XSS में, साइट दुर्भावनापूर्ण कोड को स्वीकार करती है, जबकि CSRF में, दुर्भावनापूर्ण कोड को तृतीय पक्ष साइटों में संग्रहीत किया जाता है।