Różnica między XSS a SQL Injection
Share
The kluczowa różnica między XSS a SQL Injection jest to, że XSS (lub Cross Site Scripting) to rodzaj luki w zabezpieczeniach komputera, która wstrzykuje złośliwy kod do strony internetowej, dzięki czemu kod działa u użytkowników tej witryny przez przeglądarkę, podczas gdy wstrzyknięcie SQL to kolejny mechanizm hakowania witryny, który dodaje kod SQL do pole wprowadzania formularza internetowego, aby uzyskać dostęp do zasobów lub wprowadzić zmiany w danych.
Każda organizacja utrzymuje strony internetowe, które pomagają poprawić działalność i rentowność. Aplikacja internetowa zawiera stronę klienta i serwer. Po stronie klienta znajdują się interfejsy użytkownika do interakcji z aplikacją. Strona serwera obejmuje bazę danych. Zwykle istnieją zagrożenia, które wpływają na prawidłowe funkcjonowanie aplikacji. Dwa z nich to wstrzykiwanie XSS i SQL.
ZAWARTOŚĆ
1. Przegląd i kluczowa różnica
2. Co to jest XSS
3. Co to jest SQL Injection
4. Porównanie obok siebie - XSS vs SQL Injection w formie tabelarycznej
5. Podsumowanie
Co to jest XSS?
XSS oznacza Cross Site Scripting i jest to jeden z najczęstszych ataków na witryny. Może mieć wpływ na tę konkretną stronę internetową, jak również na użytkowników tej witryny. Najpopularniejszym językiem do pisania złośliwego kodu dla ataku XSS jest JavaScript. XSS może kraść pliki cookie użytkownika, zmieniać ustawienia użytkownika, wyświetlać różne pliki do pobrania złośliwego oprogramowania i wiele innych.
Rysunek 01: XSS
Istnieją dwa rodzaje XSS. Są to trwałe i nietrwałe XSS. W trwały XSS, złośliwy kod jest zapisywany na serwerze w bazie danych. Następnie będzie działać na normalnej stronie. W nietrwały XSS, wstrzyknięty złośliwy kod zostanie wysłany do serwera za pośrednictwem żądania HTTP. Zazwyczaj ataki te mogą wystąpić w polach wyszukiwania.
Co to jest zastrzyk SQL?
SQL Injection to kolejny mechanizm hakowania stron internetowych. Umieszcza złośliwy kod w instrukcjach SQL za pomocą danych wejściowych strony internetowej. Witryna zawiera formularze do zbierania danych wejściowych od użytkowników. Pytając użytkownika o dane wejściowe, takie jak nazwa użytkownika, identyfikator użytkownika może podać instrukcję SQL zamiast nazwy i nazwy. Może więc działać w bazie danych witryny.
Rysunek 02: Zastrzyk SQL
Ponadto kilka przykładów zastrzyków SQL jest następujących;
Może wystąpić sytuacja, w której użytkownik będzie szukał użytkownika za pomocą identyfikatora użytkownika. Jeśli nie ma metody sprawdzania poprawności danych wejściowych, użytkownik może wprowadzić nieprawidłowe dane wejściowe. Jeśli wpisze on identyfikator użytkownika jako 100 LUB 1 = 1, wygeneruje instrukcję SQL w następujący sposób.
wybierz * spośród użytkowników, gdzie userid = 100 lub 1 = 1;
Ta instrukcja SQL może zwrócić wszystkich użytkowników w bazie danych, ponieważ 1 = 1 jest zawsze prawdziwe. Jeśli był to haker, a baza danych zawierała poufne dane, takie jak hasła, może uzyskać dostęp do nazw użytkowników i haseł. To jest przykład dla SQL Injection.
Jaka jest różnica między XSS a SQL Injection?
XSS jest rodzajem luki w zabezpieczeniach komputera w aplikacjach internetowych, która umożliwia atakującym wstrzykiwanie skryptów po stronie klienta na strony wyświetlane przez innych użytkowników. Wstrzykiwanie SQL to technika wstrzykiwania kodu, która atakuje aplikacje sterowane danymi, które wstawiają instrukcje SQL do wpisu złożonego do wykonania.
XSS wstrzykuje złośliwy kod do strony internetowej, dzięki czemu kod jest uruchamiany przez użytkowników tej strony przez przeglądarkę. Z drugiej strony wstrzyknięcie SQL dodaje kod SQL do pola wprowadzania formularza internetowego, aby uzyskać dostęp do zasobów lub wprowadzić zmiany w danych. Jest to główna różnica między XSS a SQL Injection. Najpopularniejszym językiem dla XSS jest JavaScript, podczas gdy SQL injection używa SQL.
Podsumowanie - XSS vs SQL Injection
Różnica między XSS a SQL Injection polega na tym, że XSS wstrzykuje złośliwy kod na stronę internetową, dzięki czemu kod jest wykonywany przez użytkowników tej strony przez przeglądarkę, podczas gdy SQL SQL dodaje kod SQL do pola wprowadzania formularza internetowego w celu uzyskania dostępu do zasobów lub wprowadzić zmiany w danych.
Odniesienie:
1. „Co to jest zastrzyk SQL? - Definicja z WhatIs.com. ” SearchSoftwareQuality, TechTarget. Dostępny tutaj
2. „Zastrzyk SQL”. Samouczki internetowe W3Schools. Dostępny tutaj
3. „Co to jest skrypty cross-site (XSS)? - Definicja z WhatIs.com. ” SearchSecurity, TechTarget. Dostępny tutaj
Zdjęcie dzięki uprzejmości:
1. '26327769571' autor: Christiaan Colen (CC BY-SA 2.0) przez Flickr
2. „Zastrzyk SQL” Batka savemazaalai - Praca własna (CC BY-SA 4.0) przez Commons Wikimedia
