XSSとCSRFの重要な違いは、XSS（またはクロスサイトスクリプティング）では、サイトが悪意のあるコードを受け入れるのに対し、CSRF（またはクロスサイトリクエストフォージェリー）では、悪意のあるコードが第三者のサイトに格納される点です。 XSSは、攻撃者が他のユーザーが閲覧するWebページにクライアント側のスクリプトを注入できるWebアプリケーションのコンピュータセキュリティの脆弱性です。一方、CSRFは、ハッカーやウェブサイトが、ユーザーのウェブアプリケーションが信頼するような不正なコマンドを送信する悪質な行為である。

Web制作は、クライアントのニーズに合わせてWebサイトをプログラミングする作業です。どんな組織にもウェブサイトがあります。これらのウェブサイトは、ビジネスの向上や利益の確保に役立っています。同時に、ウェブサイトの機能に影響を与える脅威も存在する可能性があります。そのうちの2つがXSSとCSRFです。

カタログ

1. 概要と主な違い 2. XSSとは 3. CSRFとは 4. 横並び比較 - XSSとCSRFを表形式で 5. まとめ

株式会社エックスエスコーポレーション（エックスエス）は何ですか？

XSSは、Webサイトに悪意のあるコードを注入するコードインジェクション攻撃です。これは、ウェブサイトに対する最も一般的な攻撃の一つです。ウェブサイトとその利用者の両方に影響を与える可能性があります。つまり、WebサイトがXSS攻撃を受けると、そのWebサイトを利用しているユーザーのブラウザでコードが実行されることになります。

図01：XSS攻撃

XSSのための悪意のあるコードを書くための一般的な言語はJavaScriptです。XSSはユーザーのクッキーを盗むことができ、ウェブページの外観と動作を異なるように変更することができます。さらに、マルウェアのダウンロードを表示したり、ユーザーの設定を変更したりすることも可能です。

XSS攻撃には2つのタイプがあります。これらは、パーシステントとノンパシステントと呼ばれています。持続的XSS攻撃では、悪意のあるコードがウェブサイトのデータベースに保存されます。ユーザーが知らないうちにアクセスする可能性があります。非永続的XSS攻撃は、反射的XSSとも呼ばれ、悪意のあるスクリプトをHTTPリクエストとして送信します。この2種類のXSSが主なものです。

シーエスアールエフ社は何ですか？

Webサイトには、クライアントサイドとサーバーサイドが存在します。ウェブページとフォームはクライアント側にあります。ユーザーが操作すると、サーバー側はアクションを実行する。また、サーバー側では他のWebサイトからのリクエストも受け付けています。

CSRF攻撃は、ユーザーを騙して、第三者のウェブサイト上のページやスクリプトとやり取りさせるものです。ユーザーサイトへの悪意あるリクエストを発生させます。しかし、サーバーは承認されたサイトからのリクエストであると見なします。ユーザーがそれを受け入れると、攻撃者はリクエストで送信されたデータの使用を制御できるようになります。

例を挙げると、次のようになります。あるユーザーが自分の銀行口座にログインする。銀行は、彼にセッション・トークンを提供する。ハッカーはユーザーを騙して、銀行への偽のリンクをクリックさせることができます。ユーザーがリンクをクリックすると、前回のセッショントークンが使用されます。そして、ハッカーの要求が実行され、ユーザーのアカウントがハッキングされる。自分の口座から送金することができる。銀行へのリクエストは、ユーザーの同じセッショントークンを使用しているため、偽造されます。CSRFのWebサイト開発全体の中で、どのように守っていくかを理解することが重要です。

株式会社エックスエスコーポレーション（エックスエス）とシーエスアールエフ社の違い

XSSはクロスサイトスクリプティング、CSRFはクロスサイトリクエストフォージェリーの略です。XSSは、攻撃者が他のユーザーが閲覧するウェブページにクライアント側のスクリプトを注入できるウェブアプリケーションのコンピュータセキュリティの脆弱性です。Csrfは、ユーザーのウェブアプリケーションが信頼する不正なコマンドを送信するハッカーやウェブサイトの悪意ある活動です。また、XSSは悪意のあるコードを書き込むためにJavaScriptを必要としますが、CSRFはJavaScriptを必要としません。

また、XSSではサイトが悪意のあるコードを受け入れるのに対し、CSRFでは悪意のあるコードが第三者のサイトに格納される。これがXSSとCSRFの大きな違いです。一般的に、XSS攻撃を受けやすいサイトは、CSRF攻撃も受けやすいと言われています。しかし、XSS対策を施したサイトでも、CSRF攻撃に対して脆弱な場合があります。

概要 - 株式会社エックスエスコーポレーション（エックスエス） vs. シーエスアールエフ社

XSSとCSRFの違いは、XSSの場合はサイトが悪意のあるコードを受け入れるのに対し、CSRFの場合は悪意のあるコードが第三者のサイトに格納される点です。

引用

1. ドレイン. xss tutorial #2 - non-persistent scripting (reflected xss), DrapsTV, 23 January 2015.こちらから入手可能です 2.CSRFとは何か、Hacksplaining、2017年3月4日。こちらから入手可能です 3. DrapsTV. XSS Tutorial #3-Persistent Scripts, DrapsTV, 26 January 2015.こちらで入手可能です 4. DrapsTV. XSSチュートリアル#1-クロスサイトスクリプティングとは何か？, DrapsTV, 22 January 2015.こちらから入手できます 2.CSRFとは何か、Hacksplaining、2017年3月4日 3.DrapsTV.XSSチュートリアル#3 - Persistent Scripting、DrapsTV、2015年1月26日 4.DrapsTV. XSS Tutorial #1 - What is Cross-Site Scripting?, DrapsTV, 22 January 2015