Rozdíl mezi XSS a SQL Injection

klíčový rozdíl mezi XSS a SQL Injection je to XSS (nebo Cross Site Scripting) je typ počítačové chyby zabezpečení, která na web vkládá škodlivý kód, takže kód běží v uživatelích tohoto webu prohlížečem, zatímco injekce SQL je dalším mechanismem hackování webových stránek, který přidává kód SQL do vstupní pole webového formuláře pro získání přístupu ke zdrojům nebo provedení změn dat.

Každá organizace udržuje webové stránky, které pomáhají zlepšovat podnikání a ziskovost. Webová aplikace obsahuje stranu klienta a stranu serveru. Klientská strana zahrnuje uživatelská rozhraní pro interakci s aplikací. Na straně serveru je databáze. Obvykle existují hrozby, které ovlivňují správné fungování aplikace. Dva z nich jsou XSS a SQL injection.

OBSAH

1. Přehled a klíčový rozdíl
2. Co je to XSS
3. Co je to SQL Injection
4. Porovnání bok po boku - XSS vs SQL Injection v tabulkové formě
5. Shrnutí

Co je to XSS?

XSS je zkratka pro Cross Site Scripting a je to jeden z nejčastějších útoků na webové stránky. Může ovlivnit tento konkrétní web i jeho uživatele. Nejběžnějším jazykem pro psaní škodlivého kódu pro útok XSS je JavaScript. XSS může odcizit soubory cookie uživatele, změnit nastavení uživatele, zobrazit různé stahování malwaru a mnoho dalších.

Obrázek 01: XSS

Existují dva typy XSS. Jsou to trvalé a netrvalé XSS. v perzistentní XSS, škodlivý kód se uloží na server v databázi. Poté se spustí na normální stránce. v perzistentní XSS, injikovaný škodlivý kód bude na server odeslán prostřednictvím požadavku HTTP. Tyto útoky se obvykle mohou objevit ve vyhledávacích polích.

Co je SQL Injection?

SQL Injection je další mechanismus hackování webových stránek. Prostřednictvím zadávání webových stránek umisťuje škodlivý kód do příkazů SQL. Web obsahuje formuláře ke shromažďování uživatelských vstupů. Když žádá uživatele o vstup, jako je uživatelské jméno, může uživatel namísto jména a příkazu poskytnout příkaz SQL. Může tedy běžet v databázi webových stránek.

Obrázek 02: SQL Injection

Kromě toho je několik příkladů SQL Injections následující;

Může existovat situace, kdy bude uživatel vyhledávat prostřednictvím ID uživatele. Pokud neexistuje žádná metoda ověření vstupu, může uživatel zadat nesprávný vstup. Pokud zadá userid jako 100 NEBO 1 = 1, vygeneruje příkaz SQL následujícím způsobem.

vyberte * od uživatelů, kde userid = 100 nebo 1 = 1;

Tento příkaz SQL může vrátit všechny uživatele v databázi, protože 1 = 1 je vždy pravda. Pokud se jednalo o hackera a databáze obsahovala důvěrná data, jako jsou hesla, může získat přístup k uživatelským jménům a heslům. Toto je příklad pro SQL Injection.

Jaký je rozdíl mezi XSS a SQL Injection?

XSS je typ zranitelnosti zabezpečení počítače ve webových aplikacích, který útočníkům umožňuje vkládat skripty na straně klienta na webové stránky prohlížené jinými uživateli. SQL injection je technika vkládání kódu, která útočí na aplikace řízené daty, které vkládají příkazy SQL do záznamu, který je uložen k provedení.

XSS vloží škodlivý kód na web, takže tento kód běží v uživatelích tohoto webu pomocí prohlížeče. Na druhou stranu injekce SQL přidá kód SQL do vstupního pole webového formuláře, aby získal přístup ke zdrojům nebo provedl změny dat. Toto je hlavní rozdíl mezi XSS a SQL Injection. Nejběžnějším jazykem pro XSS je JavaScript, zatímco SQL injection používá SQL.

Shrnutí - XSS vs SQL Injection

Rozdíl mezi XSS a SQL Injection spočívá v tom, že XSS injektuje škodlivý kód na web, takže kód se spustí v uživatelích tohoto webu prohlížečem, zatímco injekce SQL přidá SQL kód do vstupního pole webového formuláře, aby se získal přístup ke zdrojům nebo provádět změny v datech.

Odkaz:

1. „Co je to SQL Injection? - Definice z WhatIs.com. “ SearchSoftwareQuality, TechTarget. K dispozici zde 
2. „Vstřikování SQL.“ Webové výukové programy W3Schools. K dispozici zde 
3. „Co je skriptování mezi weby (XSS)? - Definice z WhatIs.com. “ SearchSecurity, TechTarget. K dispozici zde  

Obrázek se svolením:

1.'26327769571 'od Christiaan Colen (CC BY-SA 2.0) přes Flickr
2.'SQL injection'By Batka savemazaalai - vlastní práce, (CC BY-SA 4.0) přes Commons Wikimedia