名前が似ているのでその違いをまとめてみました。
XSS:クロスサイトスクリプティング
正式名称:cross site scripting
0.ユーザがA社サイト(公式)にログインする
2.ユーザが罠サイトを訪問し、リンクをクリックする
3.A社のサイトに遷移する
4.悪意のあるスクリプトが実行され、
A社のサイトとして表示された偽サイトに
個人情報を入力してしまい攻撃者に情報が漏洩する
CSRF:クロスサイトリクエストフォージェリ
正式名称:cross-site request forgeries
1.A社サイト(公式)にログインを要求
2.セッションIDを発行
3.A社サイトにログイン済みの状況で、ユーザが悪意あるサイトを閲覧
この時に攻撃用スクリプトにセッション用IDがセットされる
4.A社サイト(攻撃対象サイト)に悪意あるスクリプトが送信される
勝手にパスワードが変更されたり、不正な書き込みが行われたりする
まとめ
どちらもWebアプリケーションの脆弱性を利用した攻撃ですが、
違いを抑えておく必要があります。
その他の関連用語
その他の関連用語はコチラ⬇︎
