주요 차이점 : XSS 및 CSRF는 컴퓨터 보안 취약점의 두 가지 유형입니다. XSS는 교차 사이트 스크립팅의 약자입니다. CSRF는 Cross-Site Request Forgery의 약자입니다. XSS에서 해커는 사용자가 특정 웹 사이트에 대해 갖고있는 신뢰를 이용합니다. 반면 CSRF에서는 해커가 특정 사용자의 브라우저에 대한 웹 사이트의 신뢰를 이용합니다.
XSS는 교차 사이트 스크립팅의 약자입니다. 교차 사이트 스크립팅은 악의적 인 해커가 스크립트를 동적 양식에 삽입하는 보안 공격입니다. 이제는 웹 사이트에서 발견되는 가장 보편적 인 보안 취약점으로 간주되고 있습니다. XSS에서 해커는 악성 클라이언트 측 스크립트를 웹 사이트에 삽입합니다. 이 스크립트는 희생자에게 어떤 형태의 취약점을 유발하도록 추가되었습니다.
공격자 또는 해커는 이러한 목적으로 JavaScript, VBScript, ActiveX, HTML 또는 Flash를 사용합니다. 공격이 성공하면 해커가 여러 가지면에서 해를 입힐 수 있습니다. 예를 들어 공격자가 계정을 도용하거나 사용자 설정을 변경할 수 있습니다. XSS의 일반적인 예는 악의적 인 링크가 그 목적으로 사용되는 곳입니다. 숨겨진 악성 코드가 포함 된 링크가 만들어지고 사용자가이를 클릭하라는 메시지가 표시됩니다. 사용자가 클릭하면 악성 코드가 클라이언트의 웹 브라우저에서 실행됩니다.
교차 사이트 스크립팅 공격은 크게 두 가지 유형으로 나눌 수 있습니다.
- 영구적 -이 유형의 취약점에서 악의적 인 데이터는 데이터베이스에 영구적으로 저장되고 나중에 해당 데이터를 모른 채 피해자가 액세스하여 실행할 수 있습니다.
- 비 지속성 -이 유형의 취약점에서 악의적 인 해커가 제공 한 데이터는 지연없이 해당 특정 인스턴스에서 사용됩니다.
CSRF는 Cross-Site Request Forgery의 약자입니다. 원 클릭 공격 또는 세션 라이딩으로도 알려져 있습니다. 그것은 사용자에 대한 목표 웹 사이트의 신뢰를 이용합니다. 악의적 인 공격은 사용자가 공격에 대한 지식 없이도 악의적 인 요청을 대상 웹 사이트로 보내는 방식으로 설계됩니다. CSRF를 사용하는 공격자가 여러 작업을 수행 할 수 있습니다. 예를 들어 일부 게시판에 내용을 올릴 수 있고 주식을 거래 할 수 있으며 심지어 전자 카드까지 우편으로 보낼 수 있습니다. CSRF 공격을 수행하는 가장 일반적인 방법 중 하나는 HTML 이미지 태그 또는 JavaScript 이미지 객체를 사용하는 것입니다.
이러한 종류의 취약점은 브라우저에만 국한되지 않습니다. 악성 스크립팅은 워드 문서, 플래시 파일, 영화 등을 통해 수행 할 수도 있습니다. CSRF의 중요한 기능 중 일부는 다음과 같습니다.
- 피해자가 침입자의 의도에 따라 로그인해야하는 것은 아닙니다.
- 공격자가 대상 사이트로 여러 요청을 생성 할 수 있습니다.
- 다른 유형의 공격과도 잘 작동합니다.
- 일반적으로 공격받는 사이트의 데이터는 공격자가 읽을 수 없으며 이는 CSRF의 제한 사항입니다.
XSS와 CSRF의 비교 :
XSS | CSRF | |
전체 양식 | 교차 사이트 스크립팅 | 교차 사이트 요청 위조 |
정의 | XSS에서 해커는 악성 클라이언트 측 스크립트를 웹 사이트에 삽입합니다. 이 스크립트는 희생자에게 어떤 형태의 취약점을 유발하도록 추가되었습니다. | 그것은 사용자에 대한 목표 웹 사이트의 신뢰를 이용합니다. 악의적 인 공격은 사용자가 공격에 대한 지식 없이도 악의적 인 요청을 대상 웹 사이트로 보내는 방식으로 설계됩니다. |
의존 | 유효성이 확인되지 않은 데이터로 임의의 데이터 주입 | 공격 번들을 검색하고 실행하는 브라우저의 기능 및 특징 |
JavaScript 요구 사항 | 예 | 아니 |
조건 | 사이트 별 악성 코드 수용 | 악성 코드는 타사 사이트에 있습니다. |
취약점 | XSS 공격에 취약한 사이트도 CSRF 공격에 취약합니다. | XSS 유형의 공격으로부터 완전히 보호 된 사이트는 여전히 CSRF 공격에 취약 할 가능성이 큽니다. |