Най- ключова разлика между XSS и SQL инжектиране е, че XSS (или Cross Site Scripting) е вид уязвимост на компютърната сигурност, която инжектира злонамерен код на уебсайта, така че кодът да работи в потребителите на този уебсайт от браузъра, докато SQL инжектирането е друг механизъм за хакване на уебсайт, който добавя SQL код към поле за въвеждане на уеб формуляр, за да получите достъп до ресурси или да направите промени в данните.
Всяка организация поддържа уебсайтове, които спомагат за подобряване на бизнеса и рентабилността. Уеб приложение съдържа страната на клиента и на сървъра. Клиентската страна включва потребителските интерфейси за взаимодействие с приложението. Сървърната страна включва базата данни. Обикновено има заплахи, които засягат правилното функциониране на приложението. Два от тях са XSS и SQL инжекция.
1. Преглед и ключова разлика
2. Какво е XSS
3. Какво е SQL инжектиране
4. Паралелно сравнение - XSS срещу SQL инжектиране в таблична форма
5. Обобщение
XSS означава Cross Cross Scripting и това е една от най-честите атаки на уебсайтове. Това може да засегне конкретния уебсайт, както и потребителите на него. Най-разпространеният език за писане на злонамерен код за XSS атака е JavaScript. XSS може да открадне бисквитките на потребителя, да променя потребителските настройки, да показва различни изтегляния на зловреден софтуер и много други.
Фигура 01: XSS
Има два вида XSS. Те са постоянните и непостоянни XSS. в устойчив XSS, злонамереният код записва на сървъра в базата данни. Тогава той ще работи на нормалната страница. в непостоянен XSS, инжектираният злонамерен код ще бъде изпратен до сървъра чрез HTTP заявка. Обикновено тези атаки могат да се появят в полета за търсене.
SQL Injection е друг механизъм за хакване на уебсайтове. Той поставя злонамерен код в SQL изрази чрез въвеждане на уеб страница. Уебсайт съдържа формуляри за събиране на потребителски данни. Когато пита потребителя за въвеждане като потребителско име, userid, той може да предостави SQL оператор вместо име и то. Така че, може да работи на базата данни на уебсайта.
Фигура 02: SQL инжектиране
Освен това, няколко примера за SQL инжекции са следните;
Може да възникне ситуация за търсене на потребител през userid. Ако няма метод за валидиране на входа, потребителят може да въведе грешен вход. Ако той въведе userid като 100 ИЛИ 1 = 1, той ще генерира SQL оператор, както следва.
изберете * от потребители, при които userid = 100 или 1 = 1;
Това SQL изявление може да върне всички потребители в базата данни, защото 1 = 1 винаги е вярно. Ако това е хакер и ако базата данни съдържа поверителни данни като пароли, той може да получи достъп до потребителските имена и пароли. Това е пример за SQL инжектиране.
XSS е вид уязвимост на компютърната сигурност в уеб приложенията, която позволява на нападателите да инжектират скриптове от страна на клиента в уеб страници, гледани от други потребители. SQL инжектирането е техника на инжектиране на код, която атакува приложения, управлявани от данни, които вмъкват SQL изрази във запис, подаден за изпълнение.
XSS инжектира злонамерен код на уебсайта, така че този код да се изпълнява от потребителите на този уебсайт от браузъра. От друга страна, SQL инжектирането добавя SQL код към полето за въвеждане на уеб формуляр, за да получи достъп до ресурси или да направи промени в данните. Това е основната разлика между XSS и SQL Injection. Най-често срещаният език за XSS е JavaScript, докато SQL инжектирането използва SQL.
Разликата между XSS и SQL Injection е, че XSS инжектира злонамерен код на уебсайта, така че кодът се изпълнява в потребителите на този уебсайт от браузъра, докато SQL инжектирането добавя SQL код към полето за въвеждане на уеб форма, за да получи достъп до ресурси или за извършване на промени в данните.
1. „Какво е SQL инжектиране? - Определение от WhatIs.com. " SearchSoftwareQuality, TechTarget. Налични тук
2. "SQL инжектиране." Онлайн уроци за W3Schools. Налични тук
3. „Какво е скрипт между сайтове (XSS)? - Определение от WhatIs.com. " SearchSecurity, TechTarget. Налични тук
1.'26327769571 'от Christiaan Colen (CC BY-SA 2.0) чрез Flickr
2. 'SQL инжектиране' чрез Batka savemazaalai - Собствена работа, (CC BY-SA 4.0) през Commons Wikimedia