Önemli Fark: XSS ve CSRF iki tür bilgisayar güvenliği açıklarıdır. XSS, Siteler Arası Komut Dosyası Yazma anlamına gelir. CSRF, Siteler Arası İstek Sahteciliği anlamına gelir. XSS'de korsan, bir kullanıcının belirli bir web sitesi için sahip olduğu güvenden yararlanır. Öte yandan, CSRF’de korsan, bir web sitesinin belirli bir kullanıcının tarayıcısına olan güveninden yararlanır.
XSS, Siteler Arası Komut Dosyası Yazma anlamına gelir. Siteler Arası Komut Dosyası Çalıştırma, kötü niyetli bir korsanın komut dosyalarını dinamik bir forma yerleştirdiği bir güvenlik açığıdır. Şu anda web sitelerinde bulunan en yaygın güvenlik açığı olarak kabul edilmektedir. XSS'de bir bilgisayar korsanı, kötü niyetli bir istemci tarafı komut dosyasını bir web sitesine enjekte eder. Bu komut dosyası, bir kurban için bir tür güvenlik açığına neden olmak için eklenir.
Saldırganlar veya bilgisayar korsanları bu amaçla JavaScript, VBScript, ActiveX, HTML veya Flash kullanır. Saldırı başarılı olduktan sonra, bilgisayar korsanı birçok yönden zarar verebilir. Örneğin, saldırgan hesabı ele geçirebilir veya kullanıcının ayarlarını değiştirebilir. Ortak bir XSS örneği, bu amaçla kötü amaçlı bir bağlantının kullanıldığı yerlerde görülebilir. Gizli bir kötü amaçlı kod içeren bir bağlantı oluşturulur ve kullanıcıdan tıklaması istenir. Kullanıcı onu tıklarsa, istemcinin web tarayıcısında kötü amaçlı kod çalıştırılır.
Siteler arası komut dosyası çalıştırma saldırıları genel olarak iki türe ayrılabilir;
- Kalıcı - Bu tür bir güvenlik açığında, kötü amaçlı veriler bir veritabanında kalıcı olarak depolanır ve daha sonra hiçbir bilgiye sahip olmadan mağdurlar tarafından erişilir ve çalıştırılır.
- Kalıcı olmayan - Bu güvenlik açığında, kötü niyetli bilgisayar korsanı tarafından sağlanan veriler bu belirli durumda herhangi bir gecikme olmadan kullanılır.
CSRF, Siteler Arası İstek Sahteciliği anlamına gelir. Tek tıklamayla saldırı veya oturum sürmek olarak da bilinir. Hedeflenen web sitesinin bir kullanıcıya olan güveninden yararlanır. Kötü niyetli bir saldırı, bir kullanıcının saldırıyı bilmeden hedef web sitesine kötü amaçlı istekleri gönderecek şekilde tasarlanmıştır. CSRF'yi kullanan bir saldırgan tarafından bazı görevler gerçekleştirilebilir, örneğin, bazı içerikler bir mesaj panosuna gönderilebilir, hisse senetleri alınıp satılabilir ve hatta bir e-kart bile postalanabilir. Bir CSRF saldırısı gerçekleştirmenin en yaygın yollarından biri, bir HTML resim etiketi veya bir JavaScript resim nesnesi kullanmaktır.
Bu tür bir güvenlik açığı yalnızca tarayıcılarla sınırlı değildir. Kötü niyetli komut dosyası bir sözcük belgesi, Flash dosyası, film vb. Yoluyla da yapılabilir. CSRF'nin önemli özelliklerinden bazıları şunlardır:
- Saldırganın niyetine bağlı olarak, mağdurun giriş yapması zorunlu değildir.
- Saldırgan tarafından hedef siteye birden fazla istek üretilebilir.
- Diğer saldırı türleri ile son derece iyi çalışır.
- Genel olarak, saldırı yapılan siteden gelen veriler saldırgan tarafından okunamaz ve bu CSRF için bir sınırlama görevi görür.
XSS ve CSRF arasındaki karşılaştırma:
XSS | CSRF | |
Tam form | Siteler Arası Komut Dosyası | Siteler Arası İstek Sahteciliği |
Tanım | XSS'de, bir bilgisayar korsanı bir web sitesine kötü niyetli bir istemci tarafı komut dosyası enjekte eder. Bu komut dosyası, bir kurban için bir tür güvenlik açığına neden olmak için eklenir. | Hedeflenen web sitesinin bir kullanıcıya olan güveninden yararlanır. Kötü niyetli bir saldırı, bir kullanıcının saldırıyı bilmeden hedef web sitesine kötü amaçlı istekleri göndereceği şekilde tasarlanmıştır. |
Bağımlılık | İsteğe bağlı verilerin, doğrulanmamış verilerle enjeksiyonu | Saldırı paketini alma ve yürütme tarayıcısının işlevleri ve özellikleri hakkında |
JavaScript Gereksinimi | Evet | Yok hayır |
Şart | Kötü amaçlı kodun siteler tarafından kabul edilmesi | Kötü amaçlı kod üçüncü taraf sitelerinde bulunur |
Güvenlik Açığı | XSS saldırılarına karşı savunmasız bir site CSRF saldırılarına karşı da hassastır | XSS tür saldırılardan tamamen korunan bir site hala CSRF saldırılarına karşı savunmasızdır. |