مع ازدياد اعتماد العالم على تطبيقات الويب، أصبحت التهديدات الأمنية أكثر تنوعًا وتعقيدًا. من بين أبرز هذه التهديدات: هجمات XSS (Cross-Site Scripting) و هجمات CSRF (Cross-Site Request Forgery). كلاهما يستهدف مستخدمي المواقع الإلكترونية، ولكنهما يختلفان في الأسلوب والهدف وآليات الحماية.
🔹 أولاً: ما هي هجمات XSS؟
هجمات XSS تحدث عندما يتمكن المهاجم من حقن شيفرات JavaScript أو HTML خبيثة داخل موقع ويب، بحيث يتم تنفيذها في متصفح المستخدم.
أنواع هجمات XSS
XSS مخزن (Stored XSS): يتم فيه حفظ الشيفرة الضارة في قاعدة بيانات الموقع، وتظهر لاحقًا لكل المستخدمين.
XSS انعكاسي (Reflected XSS): يتم تمرير الشيفرة الخبيثة عبر رابط أو طلب HTTP ويتم تنفيذها مباشرة عند فتح الرابط.
XSS قائم على DOM: يتم التلاعب بعناصر صفحة الويب مباشرة عبر JavaScript دون المرور بالخادم.
أمثلة على XSS
إدخال سكربت خبيث في خانة التعليقات على موقع ويب.
إرسال رابط يحتوي على كود JavaScript للمستخدم لخداعه.
مخاطر هجمات XSS
سرقة ملفات تعريف الارتباط (Cookies).
تنفيذ عمليات غير مصرح بها باسم المستخدم.
إعادة توجيه المستخدم إلى مواقع ضارة.
🔹 ثانيًا: ما هي هجمات CSRF؟
هجمات CSRF تعتمد على استغلال ثقة الموقع في المستخدم المُسجّل دخوله، حيث يقوم المهاجم بخداع المستخدم لتنفيذ طلبات لم يفكر بها بنفسه (مثل تحويل الأموال أو تغيير البريد الإلكتروني).
كيف تعمل هجمات CSRF؟
المستخدم يكون قد سجل دخوله بالفعل في موقع ما.
المهاجم يرسل رابطًا أو نموذجًا خبيثًا للمستخدم.
عند النقر على الرابط أو تحميل الصفحة، يتم إرسال طلب إلى الموقع الشرعي باستخدام الجلسة (Session) المفتوحة للمستخدم.
الموقع يظن أن الطلب حقيقي لأنه صادر من جلسة مستخدم موثوقة.
أمثلة على CSRF
إرسال رابط لمستخدم بنكي يؤدي إلى تحويل أموال خفية.
تعديل إعدادات حساب بريد إلكتروني بمجرد فتح صفحة ضارة.
مخاطر هجمات CSRF
التلاعب بالمعاملات المالية.
تغيير كلمات المرور أو بيانات الحساب.
السيطرة على حسابات حساسة دون علم المستخدم.
🔹 الفرق الجوهري بين XSS وCSRF
| العنصر | هجمات XSS | هجمات CSRF |
|---|---|---|
| الهدف الأساسي | استغلال ثغرات في الموقع لحقن شيفرات | استغلال جلسة المستخدم لتنفيذ طلبات غير شرعية |
| الأداة | إدخال شيفرات JavaScript/HTML | روابط أو نماذج خبيثة |
| الضحية | المستخدم نفسه عبر تنفيذ الكود في متصفحه | الموقع والخادم عبر استغلال ثقة المستخدم |
| الخطر الأكبر | سرقة بيانات المستخدم وإعادة توجيهه | تنفيذ عمليات حساسة باسم المستخدم |
🔹 كيفية الحماية من هجمات XSS وCSRF
حماية ضد XSS
ترشيح (Filter) وإزالة أي مدخلات غير آمنة من المستخدم.
استخدام HTML encoding لمنع تنفيذ الأكواد داخل الصفحة.
تفعيل سياسة أمان المحتوى (Content Security Policy – CSP).
حماية ضد CSRF
استخدام رموز CSRF Tokens مع كل طلب حساس.
تفعيل التحقق من الـ Referer header أو Origin header.
تسجيل خروج الجلسات غير النشطة تلقائيًا.
الخلاصة
هجمات XSS تهدف إلى حقن وتشغيل شيفرات خبيثة داخل صفحات الويب، بينما هجمات CSRF تستغل ثقة الموقع في المستخدم لتنفيذ عمليات حساسة دون إذنه. بالنسبة للمطورين، فإن الوعي بالفرق بينهما وتطبيق آليات الحماية المناسبة يشكل خط الدفاع الأول لحماية التطبيقات والمستخدمين على حد سواء.