Perbedaan utama antara XSS dan CSRF adalah, dalam XSS (atau Cross Site Scripting), situs menerima kode berbahaya sementara, dalam CSRF (atau Pemalsuan Permintaan Lintas Situs), kode berbahaya disimpan di kotak ketiga situs pesta. XSS adalah jenis kerentanan keamanan komputer dalam aplikasi web yang memungkinkan penyerang menyuntikkan skrip sisi klien ke halaman web yang dilihat oleh pengguna lain. Di sisi lain, CSRF adalah jenis aktivitas jahat peretas atau situs web yang mengirimkan perintah tidak sah yang akan dipercaya oleh aplikasi web pengguna.
Pengembangan web adalah proses pemrograman situs web sesuai dengan kebutuhan klien. Setiap organisasi memelihara situs web. Situs web ini membantu meningkatkan bisnis dan mendapatkan keuntungan. Pada saat yang sama, mungkin ada ancaman yang memengaruhi fungsionalitas situs web. Dua di antaranya adalah XSS dan CSRF.
Apa itu XSS?
XSS adalah serangan injeksi kode yang menyuntikkan kode berbahaya ke situs web. Ini adalah salah satu serangan situs web yang paling umum. Ini dapat memengaruhi situs web dan juga dapat memengaruhi pengguna situs web itu. Dengan kata lain, ketika ada serangan XSS di situs web, kode itu akan dieksekusi di pengguna situs web itu oleh browser.
Gambar 01: Serangan XSS
Satu bahasa umum untuk menulis kode berbahaya untuk XSS adalah JavaScript. XSS dapat mencuri cookie pengguna. Itu dapat memodifikasi halaman web agar terlihat dan berperilaku berbeda. Selain itu, dapat menampilkan unduhan malware dan mengubah pengaturan pengguna.
Ada dua jenis serangan XSS. Mereka disebut gigih dan tidak gigih. Dalam serangan XSS persisten, kode berbahaya disimpan dalam database situs web. Pengguna mungkin mengaksesnya tanpa sepengetahuan apa pun. Serangan XSS non-persisten juga disebut XSS Tercermin. Ini mengirimkan skrip berbahaya sebagai permintaan HTTP. Itu adalah dua tipe utama di XSS.
Apa itu CSRF?
Dalam sebuah website, ada sisi klien dan sisi server. Halaman web, formulir ada di sisi klien. Sisi server melakukan tindakan ketika pengguna bertindak. Sisi server mendapat permintaan dari situs web lain juga.
Serangan CSRF menipu pengguna untuk berinteraksi dengan halaman atau skrip di situs pihak ketiga. Ini akan menghasilkan permintaan berbahaya ke situs pengguna. Tetapi server menganggap bahwa itu adalah permintaan dari situs web resmi. Ketika pengguna menerimanya, penyerang dapat mengambil kendali menggunakan data yang dikirim dalam permintaan.
Salah satu contohnya adalah sebagai berikut. Seorang pengguna masuk ke rekening banknya. Bank memberinya token sesi. Seorang peretas dapat mengelabui pengguna untuk mengklik tautan palsu yang mengarah ke bank. Saat pengguna mengklik tautan, itu menggunakan token sesi sebelumnya. Kemudian, permintaan peretas dijalankan, dan akun pengguna diretas. Dia dapat mentransfer uang dari rekeningnya. Permintaan ke bank dipalsukan karena menggunakan token sesi yang sama dari pengguna. Secara keseluruhan, penting untuk mengetahui cara melindungi situs web dari serangan CSRF dalam pengembangan web.
Apa Perbedaan Antara XSS dan CSRF?
XSS adalah singkatan dari Cross Site Scripting, dan CSRF adalah singkatan dari Cross Site Request Forgery. XSS adalah jenis kerentanan keamanan komputer dalam aplikasi web yang memungkinkan penyerang menyuntikkan skrip sisi klien ke halaman web yang dilihat oleh pengguna lain. CSRF adalah jenis aktivitas jahat peretas atau situs web yang mengirimkan perintah tidak sah yang akan dipercaya oleh aplikasi web pengguna. Juga, XSS membutuhkan JavaScript untuk menulis kode berbahaya sementara CSRF tidak memerlukan JavaScript.
Selanjutnya, di XSS, situs menerima kode berbahaya sementara di CSRF, kode berbahaya disimpan di situs pihak ketiga. Ini adalah perbedaan utama antara XSS dan CSRF. Biasanya, situs yang rentan terhadap serangan XSS juga rentan terhadap serangan CSRF. Namun, situs yang memiliki perlindungan dari XSS masih rentan terhadap serangan CSRF.
Ringkasan – XSS vs CSRF
XSS dan CSRF adalah dua jenis serangan ke situs web. XSS adalah singkatan dari Cross Site Scripting sedangkan CSRF adalah singkatan dari Cross Site Request Forgery. Perbedaan antara XSS dan CSRF adalah, di XSS, situs menerima kode berbahaya, sedangkan di CSRF, kode berbahaya disimpan di situs pihak ketiga.
