Différence entre XSS et CSRF

le différence clé entre XSS et CSRF est que, dans XSS (ou Cross Site Scripting), le site accepte le code malveillant tandis que, dans CSRF (ou Cross Site Request Forgery), le code malveillant est stocké dans les sites tiers. XSS est un type de vulnérabilité de la sécurité informatique dans les applications Web qui permet aux attaquants d’injecter des scripts côté client dans des pages Web consultées par d’autres utilisateurs. D'autre part, CSRF est un type d'activité malveillante d'un pirate informatique ou d'un site Web qui transmet des commandes non autorisées auxquelles l'application Web de l'utilisateur fera confiance..

Le développement Web consiste à programmer un site Web en fonction des besoins du client. Chaque organisation maintient des sites Web. Ces sites Web aident à améliorer l'activité et à générer des bénéfices. En même temps, il peut y avoir des menaces qui affectent la fonctionnalité du site Web. Deux d'entre eux sont XSS et CSRF.

CONTENU

1. Vue d'ensemble et différence clé
2. Qu'est-ce que XSS?
3. Qu'est-ce que la CSRF?
4. Comparaison côte à côte - XSS vs CSRF sous forme tabulaire
5. Résumé

Qu'est-ce que XSS??

XSS est une attaque par injection de code qui injecte du code malveillant dans le site Web. C'est l'une des attaques les plus courantes sur les sites Web. Cela peut affecter le site Web et également les utilisateurs de ce site Web. En d'autres termes, quand il y a une attaque XSS sur le site, ce code sera exécuté dans les utilisateurs de ce site par le navigateur..

Figure 01: Attaque XSS

Le langage commun pour écrire du code malveillant pour XSS est JavaScript. XSS peut voler les cookies des utilisateurs. Il peut modifier la page Web pour qu'elle ressemble et se comporte différemment. En outre, il peut afficher les téléchargements de logiciels malveillants et modifier les paramètres de l'utilisateur.

Il existe deux types d'attaques XSS. Ils sont appelés persistants et non persistants. Dans attaque XSS persistante, le code malveillant est stocké dans la base de données du site. L'utilisateur peut y accéder sans aucune connaissance. le attaque XSS non persistante est aussi appelé XSS réfléchi. Il envoie le script malveillant sous forme de requête HTTP. Ce sont les deux principaux types de XSS.

Qu'est-ce que la CSRF??

Dans un site Web, il y a un côté client et le côté serveur. Les pages Web, les formulaires sont du côté client. Le côté serveur exécute une action lorsque l'utilisateur agit. Le côté serveur reçoit également des demandes d'autres sites Web.

L'attaque CSRF aide l'utilisateur à interagir avec une page ou un script sur un site tiers. Il générera une requête illicite sur le site de l'utilisateur. Mais le serveur suppose qu'il s'agit d'une demande émanant d'un site Web autorisé. Lorsque l'utilisateur accepte, un attaquant peut prendre le contrôle de l'utilisation des données envoyées dans la requête..

Un exemple est comme suit. Un utilisateur se connecte à son compte bancaire. La banque lui fournit un jeton de session. Un pirate informatique peut amener l'utilisateur à cliquer sur un faux lien pointant vers la banque. Lorsque l'utilisateur clique sur le lien, il utilise le jeton de session précédent. Ensuite, la demande du pirate s’exécute et le compte de l’utilisateur est piraté. Il peut transférer de l'argent depuis son compte. La demande à la banque est falsifiée car elle utilise le même jeton de session de l'utilisateur. Globalement, il est important de savoir comment protéger le site Web contre les attaques de type CSRF dans le développement Web..

Quelle est la différence entre XSS et CSRF?

XSS signifie Cross Site Scripting et CSRF, Cross Site Request Forgery. XSS est un type de vulnérabilité de la sécurité informatique dans les applications Web qui permet aux attaquants d’injecter des scripts côté client dans des pages Web consultées par d’autres utilisateurs. CSRF est un type d'activité malveillante d'un pirate informatique ou d'un site Web qui transmet des commandes non autorisées que l'application Web de l'utilisateur va approuver. De plus, XSS nécessite JavaScript pour écrire le code malveillant alors que le CSRF ne nécessite pas JavaScript..

De plus, dans XSS, le site accepte le code malveillant, tandis que dans CSRF, le code malveillant est stocké dans les sites tiers. C'est la principale différence entre XSS et CSRF. Généralement, un site vulnérable aux attaques XSS est également vulnérable aux attaques CSRF. Cependant, un site protégé contre XSS peut toujours être vulnérable aux attaques CSRF.

Résumé - XSS vs CSRF

XSS et CSRF sont deux types d'attaques dirigées contre un site Web. XSS signifie Cross Site Scripting, tandis que CSRF signifie Cross Site Request Forgery. La différence entre XSS et CSRF est que, dans XSS, le site accepte le code malveillant, tandis que, dans CSRF, le code malveillant est stocké dans les sites tiers..

Référence:

1.DrapsTV. Tutoriel XSS n ° 2 - Scripts non persistants (XSS réfléchi), DrapsTV, 23 janvier 2015. Disponible ici  
2.Qu'est-ce que CSRF ?, Hacksplaining, 4 mars 2017.  Disponible ici 
3.DrapsTV. Tutoriel XSS n ° 3 - Scripts persistants, DrapsTV, 26 janvier 2015.  Disponible ici
4.DrapsTV. Tutoriel XSS n ° 1 - Qu'est-ce que le script intersite?, DrapsTV, 22 janvier 2015. Disponible ici  

Courtoisie d'image:

1.'26393980275 'b Christiaan Colen (CC BY-SA 2.0) via Flickr