Différence clé: XSS et CSRF sont deux types de vulnérabilités en matière de sécurité informatique. XSS signifie Cross-Site Scripting. CSRF signifie Cross-Site Request Forgery. Dans XSS, le pirate profite de la confiance qu'un utilisateur a pour un site Web donné. D'autre part, dans CSRF, le pirate informatique profite de la confiance d'un site Web pour le navigateur d'un certain utilisateur.
XSS signifie Cross-Site Scripting. Cross Site Scripting est un exploit de sécurité dans lequel un pirate informatique malveillant insère des scripts dans un formulaire dynamique. Il est maintenant considéré comme la vulnérabilité de sécurité la plus courante rencontrée sur les sites Web. Dans XSS, un pirate informatique injecte un script côté client malveillant dans un site Web. Ce script est ajouté pour causer une forme de vulnérabilité à une victime.
Les pirates ou les hackers utilisent JavaScript, VBScript, ActiveX, HTML ou Flash à cette fin. Une fois l'attaque réussie, le pirate informatique peut causer des torts de nombreuses manières. Par exemple, l'attaquant peut pirater le compte ou même modifier les paramètres de l'utilisateur. Un exemple courant de XSS peut être observé lorsqu'un lien malveillant est utilisé à cette fin. Un lien contenant un code malveillant caché est créé et l'utilisateur est invité à cliquer dessus. Si l'utilisateur clique dessus, le code malveillant est exécuté sur le navigateur Web du client.
Les attaques de script entre sites peuvent être divisées en deux types:
- Persistant - Dans ce type de vulnérabilité, les données malveillantes sont stockées de manière permanente dans une base de données. Elles sont ensuite consultées et exécutées par les victimes sans le savoir.
- Non persistant - Dans ce type de vulnérabilité, les données fournies par le pirate informatique malveillant sont utilisées sans délai sur cette instance particulière.
CSRF signifie Cross-Site Request Forgery. Il est également appelé attaque en un clic ou session d'équitation. Il tire parti de la confiance du site Web ciblé en un utilisateur. Une attaque malveillante est conçue de manière à ce qu'un utilisateur envoie des demandes malveillantes au site Web cible sans en avoir connaissance. Un attaquant utilisant CSRF peut effectuer un certain nombre de tâches. Par exemple, certains contenus peuvent être publiés sur un babillard électronique, les actions échangées et même une carte électronique pouvant être envoyée par la poste. L'une des méthodes les plus courantes d'attaque CSRF consiste à utiliser une balise d'image HTML ou un objet image JavaScript.
Ce type de vulnérabilité ne se limite pas aux navigateurs. Les scripts malveillants peuvent également être créés via un document Word, un fichier Flash, un film, etc. Certaines des fonctionnalités importantes de CSRF sont notamment:
- Il n'est pas obligatoire que la victime soit connectée, cela dépend de l'intention de l'attaquant.
- L'attaquant peut générer plusieurs demandes sur le site cible.
- Cela fonctionne extrêmement bien avec d'autres types d'attaques.
- En règle générale, l'attaquant ne peut pas lire les données du site attaqué, ce qui constitue une limitation pour CSRF.
Comparaison entre XSS et CSRF:
XSS | CSRF | |
Formulaire complet | Script intersite | Contrefaçon de requête intersite |
Définition | Dans XSS, un pirate informatique injecte un script côté client malveillant sur un site Web. Ce script est ajouté pour causer une forme de vulnérabilité à une victime. | Il tire parti de la confiance du site Web ciblé en un utilisateur. Une attaque malveillante est conçue de manière à ce qu'un utilisateur envoie des requêtes malveillantes au site Web cible sans avoir connaissance de l'attaque. |
Dépendance | Injection de données arbitraires par des données non validées | Sur les fonctionnalités et fonctionnalités du navigateur pour récupérer et exécuter le paquet d'attaques |
Exigence de JavaScript | Oui | Non |
État | Acceptation du code malveillant par les sites | Le code malveillant est situé sur des sites tiers |
Vulnérabilité | Un site vulnérable aux attaques XSS est également vulnérable aux attaques CSRF | Un site entièrement protégé contre les types d'attaques XSS reste très probablement vulnérable aux attaques CSRF. |