XSS ve CSRF arasındaki temel fark, XSS'de (veya Siteler Arası Komut Dosyası Oluşturma) sitenin kötü amaçlı kodu kabul etmesi, CSRF'de (veya Siteler Arası İstek Sahteciliği) ise kötü amaçlı kodun üçüncü parti siteleri. XSS, web uygulamalarında saldırganların diğer kullanıcılar tarafından görüntülenen web sayfalarına istemci tarafı komut dosyaları eklemesine olanak tanıyan bir tür bilgisayar güvenlik açığıdır. Öte yandan, CSRF, bir bilgisayar korsanının veya bir web sitesinin, kullanıcının web uygulamasının güveneceği yetkisiz komutlar ileten bir tür kötü niyetli etkinliğidir.
Web geliştirme, bir web sitesini müşteri gereksinimlerine göre programlama sürecidir. Her kuruluş web sitelerini korur. Bu web siteleri işi geliştirmeye ve kar elde etmeye yardımcı olur. Aynı zamanda, web sitesinin işlevselliğini etkileyen tehditler olabilir. Bunlardan ikisi XSS ve CSRF'dir.
XSS nedir?
XSS, web sitesine kötü amaçlı kod enjekte eden bir kod yerleştirme saldırısıdır. En yaygın web sitesi saldırılarından biridir. Web sitesini etkileyebilir ve o web sitesinin kullanıcılarını da etkileyebilir. Yani siteye bir XSS saldırısı gerçekleştiğinde o kod o sitenin kullanıcılarında tarayıcı tarafından yürütülecektir.
Şekil 01: XSS Saldırısı
XSS için kötü amaçlı kod yazmak için yaygın olarak kullanılan bir dil JavaScript'tir. XSS, kullanıcının çerezlerini çalabilir. Web sayfasını farklı görünecek ve davranacak şekilde değiştirebilir. Ayrıca, kötü amaçlı yazılım indirmelerini görüntüleyebilir ve kullanıcı ayarlarını değiştirebilir.
İki tür XSS saldırısı vardır. Kalıcı ve kalıcı olmayan olarak adlandırılırlar. Kalıcı XSS saldırısında, kötü amaçlı kod web sitesi veritabanında saklanır. Kullanıcı herhangi bir bilgisi olmadan erişebilir. Kalıcı olmayan XSS saldırısına Yansıyan XSS de denir. Kötü amaçlı komut dosyasını bir HTTP isteği olarak gönderir. Bunlar XSS'deki ana iki türdür.
CSRF nedir?
Bir web sitesinde istemci tarafı ve sunucu tarafı vardır. Web sayfaları, formlar istemci tarafındadır. Kullanıcı harekete geçtiğinde sunucu tarafı bir işlem gerçekleştirir. Sunucu tarafı da diğer web sitelerinden istek alıyor.
CSRF saldırısı, kullanıcıyı üçüncü taraf bir sitedeki bir sayfa veya komut dosyasıyla etkileşim kurması için kandırır. Kullanıcının sitesine kötü niyetli bir istek oluşturur. Ancak sunucu, bunun yetkili bir web sitesinden bir istek olduğunu varsayar. Kullanıcı kabul ettiğinde, saldırgan istekte gönderilen verileri kullanarak kontrolü ele alabilir.
Bir örnek aşağıdaki gibidir. Bir kullanıcı banka hesabına giriş yapar. Banka ona bir oturum belirteci sağlar. Bir bilgisayar korsanı, bankayı gösteren sahte bir bağlantıya tıklaması için kullanıcıyı kandırabilir. Kullanıcı bağlantıyı tıkladığında önceki oturum belirtecini kullanır. Ardından, bilgisayar korsanının isteği yürütülür ve kullanıcı hesabı saldırıya uğrar. Hesabından para transfer edebilir. Kullanıcının aynı oturum belirtecini kullandığı için bankaya yapılan istek sahtedir. Genel olarak, web geliştirmede web sitesini CSRF saldırısından nasıl koruyacağınızı bilmek önemlidir.
XSS ve CSRF Arasındaki Fark Nedir?
XSS, Siteler Arası Komut Dosyası Oluşturma ve CSRF, Siteler Arası İstek Sahteciliği anlamına gelir. XSS, web uygulamalarında saldırganların diğer kullanıcılar tarafından görüntülenen web sayfalarına istemci tarafı komut dosyaları eklemesine olanak tanıyan bir tür bilgisayar güvenlik açığıdır. CSRF, bir bilgisayar korsanının veya bir web sitesinin, kullanıcının web uygulamasının güveneceği yetkisiz komutlar ileten bir tür kötü niyetli etkinliğidir. Ayrıca, XSS, kötü amaçlı kodu yazmak için JavaScript'i gerektirirken CSRF, JavaScript gerektirmez.
Ayrıca, XSS'de site kötü amaçlı kodu kabul ederken CSRF'de kötü amaçlı kod üçüncü taraf sitelerinde depolanır. XSS ve CSRF arasındaki temel fark budur. Genellikle, XSS saldırısına karşı savunmasız olan bir site, CSRF saldırısına karşı da savunmasızdır. Ancak, XSS'den korumaya sahip bir site yine de CSRF saldırılarına karşı savunmasız olabilir.
Özet – XSS ve CSRF
XSS ve CSRF, bir web sitesine yapılan iki tür saldırıdır. XSS, Siteler Arası Komut Dosyası, CSRF ise Siteler Arası İstek Sahteciliği anlamına gelir. XSS ve CSRF arasındaki fark, XSS'de site kötü amaçlı kodu kabul ederken, CSRF'de kötü amaçlı kodun üçüncü taraf sitelerinde depolanmasıdır.
