pagrindinis skirtumas tarp XSS ir SQL įpurškimo yra tai, kad XSS (arba „Cross Site Scripting“) yra kompiuterio saugos pažeidžiamumo tipas, įterpiantis į svetainę kenksmingą kodą, kad kodas tos svetainės vartotojams būtų paleistas naršyklėje, o SQL injekcija yra dar vienas svetainės įsilaužimo mechanizmas, pridedantis SQL kodą prie žiniatinklio formos įvesties laukelis, norint gauti prieigą prie išteklių arba atlikti duomenų pakeitimus.
Kiekviena organizacija prižiūri svetaines, kurios padeda pagerinti verslą ir pelningumą. Žiniatinklio programoje yra kliento ir serverio pusės. Kliento pusėje yra vartotojo sąsajos, skirtos sąveikai su programa. Serverio pusėje yra duomenų bazė. Paprastai yra grėsmių, turinčių įtakos tinkamam programos veikimui. Du iš jų yra XSS ir SQL įpurškimas.
1. Apžvalga ir svarbiausias skirtumas
2. Kas yra XSS
3. Kas yra SQL įpurškimas
4. Šalutinis palyginimas - XSS vs SQL injekcija lentelės forma
5. Santrauka
XSS reiškia „Cross Site Scripting“ ir tai yra viena iš labiausiai paplitusių svetainių atakų. Tai gali paveikti tą konkrečią svetainę ir tos svetainės vartotojus. Dažniausiai pasitaikanti kalba apie XSS atakos kenkėjiškų kodų rašymą yra „JavaScript“. XSS gali pavogti vartotojo slapukus, pakeisti vartotojo nustatymus, rodyti įvairius kenkėjiškų programų atsisiuntimus ir daug daugiau.
01 paveikslas: XSS
Yra du XSS tipai. Tai yra nuolatinis ir neišsilaikantis XSS. Į nuolatinis XSS, kenksmingas kodas išsaugomas duomenų bazės serveryje. Tada jis veiks normaliame puslapyje. Į neišsilaikantis XSS, suleistas kenksmingas kodas bus nusiųstas į serverį naudojant HTTP užklausą. Paprastai šios atakos gali įvykti paieškos laukuose.
„SQL Injection“ yra dar vienas svetainių įsilaužimo mechanizmas. Įdėdamas kenkėjišką kodą į SQL, naudodamas tinklalapio įvestį. Svetainėje yra formos vartotojo įvestims rinkti. Prašydamas vartotojo įvesti, pavyzdžiui, vartotojo vardą, „userid“, vietoj vardo ir jo, jis gali pateikti SQL sakinį. Taigi, ji gali būti vykdoma svetainės duomenų bazėje.
02 paveikslas: SQL įpurškimas
Be to, keletas SQL injekcijų pavyzdžių yra šie;
Gali būti situacija, kai reikia ieškoti vartotojo per „userid“. Jei nėra įvesties patvirtinimo metodo, vartotojas gali įvesti neteisingą įvestį. Jei jis įves vartotojo ID kaip 100 ARBA 1 = 1, jis sugeneruos SQL teiginį taip.
pasirinkite * iš vartotojų, kur userid = 100 arba 1 = 1;
Šis SQL sakinys gali grąžinti visus duomenų bazės vartotojus, nes 1 = 1 visada yra tiesa. Jei tai buvo įsilaužėlis ir duomenų bazėje buvo konfidencialių duomenų, tokių kaip slaptažodžiai, jis gali gauti prieigą prie naudotojų vardų ir slaptažodžių. Tai yra SQL įpurškimo pavyzdys.
XSS yra kompiuterio saugumo pažeidžiamumas žiniatinklio programose, leidžiantis užpuolikams įšvirkšti kliento scenarijus į tinklalapius, kuriuos mato kiti vartotojai. SQL įpurškimas yra kodo įpurškimo technika, kuri atakuoja duomenų varomas programas, kurios įterpia SQL teiginius į įrašą, kuris pateikiamas vykdyti.
XSS įveda kenkėjišką kodą į svetainę, kad tą tinklalapio vartotojus jis paleistų naršyklėje. Kita vertus, SQL injekcija prideda SQL kodą į žiniatinklio formos įvesties laukelį, kad būtų galima pasiekti išteklius arba atlikti duomenų pakeitimus. Tai yra pagrindinis skirtumas tarp XSS ir SQL įpurškimo. Dažniausia XSS kalba yra „JavaScript“, o SQL įpurškimas naudoja SQL.
Skirtumas tarp XSS ir SQL įpurškimo yra tas, kad XSS įveda kenksmingą kodą į svetainę, taigi tą kodą interneto svetainės vartotojas vykdo naudodamas naršyklę, o SQL įterpimas prideda SQL kodą prie žiniatinklio formos įvesties laukelio, kad būtų galima pasiekti išteklius ar atlikti duomenų pakeitimus.
1. „Kas yra SQL įpurškimas? - Apibrėžimas iš WhatIs.com. “ „SearchSoftwareQuality“, „TechTarget“. Galima rasti čia
2. „SQL įpurškimas“. „W3Schools“ internetinės internetinės instrukcijos. Galima rasti čia
3. Kas yra „Cross-Site Scripting“ (XSS)? - Apibrėžimas iš WhatIs.com. “ „SearchSecurity“, „TechTarget“. Galima rasti čia
1. „26327769571“ pateikė Christiaan Colen (CC BY-SA 2.0) per „Flickr“
2. „SQL injekcija“ - „Batka savemazaalai“ - Savas darbas (CC BY-SA 4.0) per „Commons Wikimedia“