Sé de scripts entre sitios y falsificación de solicitudes entre sitios. Quiero saber si hay alguna similitud entre ellos?
En un ataque de falsificación de solicitud entre sitios , el atacante intenta forzarlo / engañarlo para que realice una solicitud que no tenía intención de enviar. Esto podría estar enviándole un enlace que le hace cambiar su contraseña involuntariamente. Un enlace malicioso podría verse así:
https://security.stackexchange.com/account?new_password=abc123
En un ataque de secuencias de comandos entre sitios , el atacante hace que ejecutes involuntariamente el código del lado del cliente, probablemente JavaScript. Un típico intento de ataque XSS reflejado podría verse así:
https://security.stackexchange.com/search?q="><script>alert(document.cookie)</script>
Ambos ataques tienen en común que son ataques del lado del cliente y necesitan algún tipo de actividad del usuario (por ejemplo, hacer clic en un enlace o visitar un sitio web). A diferencia de RFI o SQLi vulnerabilidades, estás atacando a un usuario en lugar de al servidor. XSS es generalmente más poderoso que CSRF porque generalmente permite la ejecución de código de script arbitrario, mientras que CSRF está restringido a una acción en particular (por ejemplo, cambiando la contraseña). Como señala @Lukas, un ataque XSS exitoso también pasa por alto todas las medidas anti-CSRF.