galvenā atšķirība starp XSS un SQL iesmidzināšanu ir tas, ka XSS (vai Cross Site Scripting) ir datora drošības ievainojamības veids, kas vietnei ievada ļaunprātīgu kodu, lai kods šīs vietnes lietotājiem darbotos pārlūkprogrammā, kamēr SQL injekcija ir vēl viens vietnes uzlaušanas mehānisms, kas SQL kodu pievieno tīmekļa veidlapas ievades lodziņš, lai piekļūtu resursiem vai veiktu datu izmaiņas.
Katra organizācija uztur tīmekļa vietnes, kas palīdz uzlabot uzņēmējdarbību un rentabilitāti. Tīmekļa lietojumprogramma satur klienta un servera pusi. Klienta pusē ir lietotāja saskarnes, lai mijiedarbotos ar lietojumprogrammu. Servera pusē ir iekļauta datu bāze. Parasti pastāv draudi, kas ietekmē pareizu lietojumprogrammas darbību. Divas no tām ir XSS un SQL injekcijas.
1. Pārskats un galvenās atšķirības
2. Kas ir XSS
3. Kas ir SQL iesmidzināšana
4. Blakus salīdzinājums - XSS vs SQL injekcija tabulas formā
5. Kopsavilkums
XSS nozīmē Cross Site Scripting, un tas ir viens no biežākajiem vietņu uzbrukumiem. Tas var ietekmēt šo konkrēto vietni, kā arī šīs vietnes lietotājus. Visizplatītākā valoda XSS uzbrukuma ļaundabīgā koda rakstīšanai ir JavaScript. XSS var nozagt lietotāja sīkfailus, mainīt lietotāja iestatījumus, parādīt dažādas ļaunprātīgas programmatūras lejupielādes un daudz ko citu.
01. attēls: XSS
Pastāv divu veidu XSS. Tie ir noturīgs un neatlaidīgs XSS. Iekšā noturīgs XSS, kaitīgais kods tiek saglabāts serverī datu bāzē. Tad tas darbosies parastajā lapā. Iekšā neatlaidīgs XSS, ievadītais kaitīgais kods tiks nosūtīts uz serveri, izmantojot HTTP pieprasījumu. Parasti šie uzbrukumi var notikt meklēšanas laukos.
SQL Injection ir vēl viens vietņu uzlaušanas mehānisms. Izmantojot tīmekļa lapas ievadi, tas SQL paziņojumos ievieto ļaunprātīgu kodu. Vietnē ir veidlapas lietotāju ievadīto datu apkopošanai. Lūgdams lietotājam ievadīt, piemēram, lietotājvārdu, lietotājvārds var būt SQL, nevis vārda un tā nosaukums. Tātad, to var palaist vietnes datu bāzē.
Attēls 02: SQL iesmidzināšana
Turklāt daži SQL injekciju piemēri ir šādi;
Var rasties situācija, ka lietotājs tiek meklēts caur userid. Ja nav ievades validācijas metodes, lietotājs var ievadīt nepareizu ievadi. Ja lietotājs ievadīs vērtību 100 VAI 1 = 1, tas ģenerēs SQL paziņojumu šādi.
atlasiet * no lietotājiem, kur userid = 100 vai 1 = 1;
Šis SQL paziņojums var atgriezt visus datubāzes lietotājus, jo 1 = 1 vienmēr ir taisnība. Ja tas bija hakeris un ja datu bāzē bija konfidenciāli dati, piemēram, paroles, viņš var piekļūt lietotājvārdiem un parolēm. Tas ir SQL iesmidzināšanas piemērs.
XSS ir tīmekļa lietojumprogrammu datora drošības ievainojamības veids, kas uzbrucējiem ļauj ievadīt klienta puses skriptus tīmekļa lapās, kuras apskatījuši citi lietotāji. SQL injekcija ir koda ievadīšanas tehnika, kas uzbrūk ar datiem balstītām lietojumprogrammām, kuras ievieto SQL ierakstus, kas iesniegti izpildei.
XSS vietnei ievada ļaunprātīgu kodu, lai pārlūkprogramma šo kodu izmantotu šīs vietnes lietotājiem. No otras puses, SQL injekcija pievieno SQL kodu tīmekļa formas ievades lodziņam, lai piekļūtu resursiem vai veiktu izmaiņas datos. Šī ir galvenā atšķirība starp XSS un SQL iesmidzināšanu. Visizplatītākā XSS valoda ir JavaScript, savukārt SQL injekcijā tiek izmantots SQL.
Atšķirība starp XSS un SQL iesmidzināšanu ir tāda, ka XSS vietnei ievada ļaunprātīgu kodu, tādējādi pārlūkprogramma šo kodu izpilda vietnes lietotājiem, kamēr SQL injekcija pievieno SQL kodu tīmekļa formas ievades lodziņam, lai iegūtu piekļuvi resursiem vai veikt izmaiņas datos.
1. “Kas ir SQL iesmidzināšana? - Definīcija no vietnes WhatIs.com. ” SearchSoftwareQuality, TechTarget. Pieejams šeit
2. “SQL iesmidzināšana”. W3Schools tiešsaistes tīmekļa konsultācijas. Pieejams šeit
3. “Kas ir vietņu skriptēšana (XSS)? - Definīcija no vietnes WhatIs.com. ” SearchSecurity, TechTarget. Pieejams šeit
1. '26327769571 ', Kristians Kolens (CC BY-SA 2.0), izmantojot Flickr
2.'SQL injekcijaBy Batka savemazaalai - Savs darbs, (CC BY-SA 4.0), izmantojot Commons Wikimedia