XSS i CSRF - różnicę, przykłady, obrona

Cel prezentacji

Co przekazesz słuchaczom?

Po tej prezentacji słuchacze będą w stanie:

Rozroznic ataki XSS i CSRF pod wzgledem mechanizmu działania
Zidentyfikowac miejsca podatne na oba typy atakow
Zastosowac podstawowe techniki obrony w swoich projektach
Zrozumiec, dlaczego te ataki sa wciaz popularne i niebezpieczne

Plan prezentacji (8-12 min)

Wprowadzenie (2 min)
- Krótkie przedstawienie tematu
- Dlaczego XSS i CSRF sa ważne w bezpieczenstwie webowym
- Statystyki OWASP Top 10
XSS - Cross-Site Scripting (3 min)
- Definicja i mechanizm działania
- Typy XSS: stored, reflected, DOM-based
- Przykład ataku i jego skutki
CSRF - Cross-Site Request Forgery (3 min)
- Definicja i mechanizm działania
- Różnica miedzy XSS a CSRF
- Przykład ataku i jego skutki
Techniki obrony (3 min)
- Obrona przed XSS: sanityzacja, encoding, CSP
- Obrona przed CSRF: tokeny, SameSite cookies
- Dobre praktyki w kodzie
Podsumowanie i pytania (1 min)
- Kluczowe wnioski
- Checklista bezpieczeństwa

Kluczowe zagadnienia

XSS - Cross-Site Scripting

XSS to atak polegajacy na wstrzyknieciu złośliwego skryptu JavaScript do strony internetowej, który nastepnie wykonuje się w przegladarce ofiary.

Główny problem: Niezaufane dane użytkownika sa renderowane bez odpowiedniego przetworzenia (encoding/escaping).

Typ	Opis	Przykład
Stored XSS	Skrypt zapisany w bazie danych	Komentarz na blogu
Reflected XSS	Skrypt w URL zwrócony przez serwer	Parametr wyszukiwania
DOM-based XSS	Skrypt manipuluje DOM po stronie klienta	innerHTML z URL

CSRF - Cross-Site Request Forgery

CSRF to atak zmuszajacy zalogowanego użytkownika do wykonania niechcianej akcji na stronie, na której jest uwierzytelniony.

Główny problem: Serwer ufa sesji użytkownika bez weryfikacji, czy zadanie pochodzi z legalnego źródła.

Porownanie XSS vs CSRF

Aspekt	XSS	CSRF
Co jest atakowane	Zaufanie użytkownika do strony	Zaufanie serwera do sesji
Gdzie jest problem	Output (renderowanie)	Request (autoryzacja)
Skrypt złośliwy	Wykonuje się w przegladarce	Nie wymaga skryptu
Cel ataku	Kradziez danych, sesji	Wykonanie akcji

Sugestie wizualne

Slajd 1: Schemat ataku XSS

[Użytkownik] --> [Formularz komentarza] --> [Baza danych]
                                                 |
                                                 v
[Ofiara] <-- [Strona że skryptem] <-- [Serwer]

Slajd 2: Schemat ataku CSRF

[Użytkownik zalogowany do banku]
         |
         v
[Odwiedza złośliwa strone] --> [POST do banku]
                                     |
                                     v
                              [Bank wykonuje przelew]

Slajd 3: Porownanie obrony

+------------------+------------------+
|       XSS        |      CSRF        |
+------------------+------------------+
| htmlspecialchars | Token CSRF       |
| Content-Security | SameSite cookies |
| Policy (CSP)     | Referer check    |
| Trusted Types    | Custom headers   |
+------------------+------------------+

Demo praktyczne

Przykład 1: Podatny kod na XSS

<!-- ZLE - podatne na XSS -->
<?php
$name = $_GET['name'];
echo "Witaj, " . $name;
?>

<!-- Atak: ?name=<script>alert('XSS')</script> -->

Przykład 2: Zabezpieczony kod

<!-- DOBRZE - zabezpieczone -->
<?php
$name = $_GET['name'];
echo "Witaj, " . htmlspecialchars($name, ENT_QUOTES, 'UTF-8');
?>

Przykład 3: Formularz podatny na CSRF

<!-- ZLE - brak tokena CSRF -->
<form action="/delete-account" method="POST">
  <button type="submit">Usun konto</button>
</form>

Przykład 4: Formularz z tokenem CSRF

<!-- DOBRZE - z tokenem CSRF -->
<?php
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;
?>

<form action="/delete-account" method="POST">
  <input type="hidden" name="csrf_token" value="<?= $token ?>">
  <button type="submit">Usun konto</button>
</form>

Przykład 5: Weryfikacja tokena

<?php
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die('Nieprawidłowy token CSRF');
}
// Kontynuuj przetwarzanie...
?>

Warianty wymagan

Wymagania minimalne:

Wyjaśnienie różnic miedzy XSS a CSRF
Pokazanie 2 schematow (po jednym na atak)
Pokazanie 1 fragmentu kodu obronnego (np. htmlspecialchars)
Podanie 2 przykładów miejsc podatnych

Ocena: 3.0 (minimum)

Checklista bezpieczeństwa

Co sprawdzić przed wdrozeniem?

Czy wszystkie dane użytkownika sa encodowane przed wyswietleniem?
Czy formularze POST maja tokeny CSRF?
Czy cookies sesji maja flage SameSite?
Czy Content-Security-Policy jest skonfigurowane?
Czy uzywamy httpOnly dla cookies sesji?
Czy walidujemy dane po stronie serwera?
Czy uzywamy prepared statements dla SQL?

Pytania do dyskusji

Pytanie 1

Dlaczego XSS jest wciaz w OWASP Top 10 mimo prostych metod obrony?

Pytanie 2

Czy SameSite cookies całkowicie eliminuja ryzyko CSRF?

Pytanie 3

Jak CSP pomaga w obronie przed XSS?

Pytanie 4

Czy API REST jest podatne na CSRF? Dlaczego?

Typowe błędy do unikniecia

Podpowiedzi do prezentacji

Zasoby

OWASP: Cross-Site Scripting (XSS) Oficjalny opis ataku XSS od OWASP z przykładami i metodami obrony.

OWASP: Cross-Site Request Forgery Oficjalny opis ataku CSRF od OWASP.

OWASP CSRF Prevention Cheat Sheet Szczegółowe metody zapobiegania CSRF.

MDN: Content-Security-Policy Dokumentacja CSP jako dodatkowej warstwy obrony.

PHP: htmlspecialchars() Dokumentacja funkcji do encodowania w PHP.

MDN: SameSite cookies Atrybut SameSite dla cookies jako obrona przed CSRF.