Forskjellen mellom XSS og SQL Injection

De nøkkelforskjell mellom XSS og SQL Injection er at XSS (eller Cross Site Scripting) er en type datasikkerhetssårbarhet som injiserer ondsinnet kode på nettstedet, slik at koden kjører i brukerne av nettstedet ved nettleseren mens SQL-injeksjonen er en annen nettside hackingsmekanisme som legger til SQL-kode til en nettformat-input-boksen for å få tilgang til ressurser eller for å gjøre endringer i data.

Hver organisasjon opprettholder nettsteder som bidrar til å forbedre virksomheten og lønnsomheten. En webapplikasjon inneholder klientsiden og server siden. Klientsiden inneholder brukergrensesnittene for å samhandle med applikasjonen. Server siden inneholder databasen. Vanligvis er det trusler som påvirker riktig funksjon av applikasjonen. To av dem er XSS og SQL-injeksjon.

INNHOLD

1. Oversikt og nøkkelforskjell
2. Hva er XSS
3. Hva er SQL Injection
4. Side ved side-sammenligning - XSS vs SQL-injeksjon i tabellform
5. Sammendrag

Hva er XSS?

XSS står for Cross Site Scripting, og det er et av de vanligste nettstedangrepene. Det kan påvirke den aktuelle nettsiden samt brukere av den nettsiden. Det vanligste språket for å skrive ondsinnet kode for XSS-angrep er JavaScript. XSS kan stjele brukerens informasjonskapsler, endre brukerinnstillinger, vise ulike malware nedlastinger og mange flere.

Figur 01: XSS

Det er to typer XSS. De er den vedvarende og ikke-vedvarende XSS. I vedvarende XSS, den skadelige koden lagrer til serveren i databasen. Så løper det på vanlig side. I ikke-vedvarende XSS, Den injiserte skadelige koden vil bli sendt til serveren via en HTTP-forespørsel. Vanligvis kan disse angrepene forekomme i søkefeltene.

Hva er SQL Injection?

SQL Injection er en annen nettside hacking mekanisme. Den plasserer en ondsinnet kode i SQL-setninger via nettsideinngang. Et nettsted inneholder skjemaer for å samle brukerinnganger. Når du spør brukeren om innskriving, for eksempel brukernavn, userid, kan han gi en SQL-setning i stedet for navnet og den. Så det kan kjøre på nettsidedatabasen.

Figur 02: SQL-injeksjon

Videre er få eksempler på SQL-injeksjoner som følger;

Det kan være en situasjon å søke en bruker gjennom brukeren. Hvis det ikke finnes noen valideringsmetode for inntasting, kan brukeren angi feil inntasting. Hvis han går inn i userid som 100 OR 1 = 1, vil den generere en SQL-setning som følger.

velg * fra brukere der userid = 100 eller 1 = 1;

Denne SQL-setningen kan returnere alle brukerne i databasen fordi 1 = 1 er alltid sant. Hvis dette var en hacker og hvis databasen inneholdt konfidensielle data som passord, kan han få tilgang til brukernavn og passord. Det er et eksempel på SQL Injection.

Hva er forskjellen mellom XSS og SQL Injection?

XSS er en type datasikkerhetssårbarhet i webapplikasjoner som gjør det mulig for angripere å injisere klientside-skript på nettsider som er sett av andre brukere. SQL-injeksjon er en kodeinjeksjonsteknikk som angriper datastyrt applikasjoner som setter inn SQL-setninger i en oppføring som er arkivert for utførelse.

XSS injiserer ondsinnet kode på nettsiden, slik at koden kjører i brukerne av den nettsiden av nettleseren. På den annen side legger SQL-injeksjon SQL-kode til en web-skjema-innboks for å få tilgang til ressurser eller for å gjøre endringer i data. Dette er hovedforskjellen mellom XSS og SQL Injection. Mest brukte språk for XSS er JavaScript mens SQL-injeksjon bruker SQL.

Oppsummering - XSS vs SQL Injection

Forskjellen mellom XSS og SQL Injection er at XSS injiserer ondsinnet kode på nettsiden, slik at kode kjøres ut av brukerne av den nettsiden av nettleseren mens SQL-injeksjonen legger til SQL-kode i en nettformingsinputboks for å få tilgang til ressurser eller å gjøre endringer i data.

Henvisning:

1. "Hva er SQL-injeksjon? - Definisjon fra WhatIs.com. "SearchSoftwareQuality, TechTarget. Tilgjengelig her 
2. "SQL Injection." W3Schools Online Web Tutorials. Tilgjengelig her 
3. "Hva er cross-site scripting (XSS)? - Definisjon fra WhatIs.com. "SearchSecurity, TechTarget. Tilgjengelig her  

Bilde Courtesy:

1.'26327769571 'av Christiaan Colen (CC BY-SA 2.0) via Flickr
2.'SQL injection'By Batka savemazaalai - Eget arbeid, (CC BY-SA 4,0) via Commons Wikimedia