Perbezaan utama antara XSS dan CSRF ialah, dalam XSS (atau Cross Site Scripting), tapak menerima kod hasad manakala, dalam CSRF (atau Cross Site Request Forgery), kod hasad disimpan dalam kod ketiga tapak parti. XSS ialah sejenis kerentanan keselamatan komputer dalam aplikasi web yang membolehkan penyerang menyuntik skrip sebelah klien ke dalam halaman web yang dilihat oleh pengguna lain. Sebaliknya, CSRF ialah sejenis aktiviti berniat jahat penggodam atau tapak web yang menghantar arahan tidak dibenarkan yang akan dipercayai oleh aplikasi web pengguna.
Pembangunan web ialah proses pengaturcaraan tapak web mengikut keperluan pelanggan. Setiap organisasi menyelenggara laman web. Laman web ini membantu meningkatkan perniagaan dan memperoleh keuntungan. Pada masa yang sama, mungkin terdapat ancaman yang menjejaskan fungsi tapak web. Dua daripadanya ialah XSS dan CSRF.
Apakah itu XSS?
XSS ialah serangan suntikan kod yang menyuntik kod hasad ke dalam tapak web. Ia adalah salah satu serangan laman web yang paling biasa. Ia boleh menjejaskan laman web dan juga boleh menjejaskan pengguna laman web tersebut. Dalam erti kata lain, apabila terdapat serangan XSS pada tapak web, kod tersebut akan dilaksanakan dalam pengguna tapak web tersebut oleh penyemak imbas.
Rajah 01: Serangan XSS
Satu bahasa biasa untuk menulis kod hasad untuk XSS ialah JavaScript. XSS boleh mencuri kuki pengguna. Ia boleh mengubah suai halaman web untuk melihat dan berkelakuan secara berbeza. Selain itu, ia boleh memaparkan muat turun perisian hasad dan menukar tetapan pengguna.
Terdapat dua jenis serangan XSS. Mereka dipanggil berterusan dan tidak berterusan. Dalam serangan XSS yang berterusan, kod hasad disimpan dalam pangkalan data tapak web. Pengguna mungkin mengaksesnya tanpa sebarang pengetahuan. Serangan XSS yang tidak berterusan juga dipanggil XSS Reflected. Ia menghantar skrip berniat jahat sebagai permintaan HTTP. Itu ialah dua jenis utama dalam XSS.
Apakah itu CSRF?
Dalam tapak web, terdapat bahagian pelanggan dan bahagian pelayan. Halaman web, borang berada di sebelah pelanggan. Bahagian pelayan melakukan tindakan apabila pengguna bertindak. Bahagian pelayan juga mendapat permintaan daripada tapak web lain.
Serangan CSRF menipu pengguna untuk berinteraksi dengan halaman atau skrip pada tapak pihak ketiga. Ia akan menjana permintaan berniat jahat ke tapak pengguna. Tetapi pelayan menganggap bahawa ia adalah permintaan daripada tapak web yang dibenarkan. Apabila pengguna menerimanya, penyerang boleh mengawal penggunaan data yang dihantar dalam permintaan.
Salah satu contoh adalah seperti berikut. Seorang pengguna log masuk ke akaun banknya. Bank memberikannya token sesi. Penggodam boleh menipu pengguna untuk mengklik pada pautan palsu yang menghala ke bank. Apabila pengguna mengklik pautan, ia menggunakan token sesi sebelumnya. Kemudian, permintaan penggodam dilaksanakan, dan akaun pengguna digodam. Dia boleh memindahkan wang dari akaunnya. Permintaan kepada bank dipalsukan kerana ia menggunakan token sesi yang sama pengguna. Secara keseluruhannya, adalah penting untuk mengetahui cara melindungi tapak web daripada serangan CSRF dalam pembangunan web.
Apakah Perbezaan Antara XSS dan CSRF?
XSS ialah singkatan bagi Cross Site Scripting dan CSRF ialah singkatan bagi Cross Site Request Forgery. XSS ialah sejenis kerentanan keselamatan komputer dalam aplikasi web yang membolehkan penyerang menyuntik skrip sebelah klien ke dalam halaman web yang dilihat oleh pengguna lain. CSRF ialah sejenis aktiviti berniat jahat penggodam atau tapak web yang menghantar arahan tanpa kebenaran yang akan dipercayai oleh aplikasi web pengguna. Selain itu, XSS memerlukan JavaScript untuk menulis kod hasad manakala CSRF tidak memerlukan JavaScript.
Selain itu, dalam XSS, tapak menerima kod hasad manakala dalam CSRF, kod hasad disimpan dalam tapak pihak ketiga. Ini adalah perbezaan utama antara XSS dan CSRF. Biasanya, tapak yang terdedah kepada serangan XSS juga terdedah kepada serangan CSRF. Walau bagaimanapun, tapak yang mempunyai perlindungan daripada XSS masih boleh terdedah kepada serangan CSRF.
Ringkasan – XSS lwn CSRF
XSS dan CSRF ialah dua jenis serangan ke tapak web. XSS ialah singkatan bagi Cross Site Scripting manakala CSRF ialah singkatan Cross Site Request Forgery. Perbezaan antara XSS dan CSRF ialah, dalam XSS, tapak menerima kod hasad manakala, dalam CSRF, kod hasad disimpan di tapak pihak ketiga.
