diferența cheie între XSS și SQL Injection este că XSS (sau Cross Site Scripting) este un tip de vulnerabilitate a securității calculatorului care introduce codul rău intenționat pe site, astfel încât codul să fie rulat de utilizatori de site-ul respectiv de către browser, în timp ce injectarea SQL este un alt mecanism de hacking care adaugă codul SQL caseta de introducere a formularului web pentru a obține acces la resurse sau pentru a face modificări datelor.
Fiecare organizație întreține site-uri Web, care contribuie la îmbunătățirea afacerii și profitabilității. O aplicație web conține partea clientului și partea de server. Partea client include interfețele utilizatorilor care interacționează cu aplicația. Partea de server include baza de date. De obicei, există amenințări care afectează buna funcționare a aplicației. Două dintre acestea sunt XSS și SQL injection.
1. Prezentare generală și diferență cheie
2. Ce este XSS
3. Ce este SQL Injection
4. Comparație comparativă - XSS vs. SQL Injecție în formă tabulară
5. rezumat
XSS înseamnă Cross Site Scripting și este unul dintre cele mai frecvente atacuri de pe site. Poate afecta site-ul respectiv, precum și utilizatorii acelui site. Limba cea mai comună pentru a scrie cod rău intenționat pentru atac XSS este JavaScript. XSS poate fura cookie-urile utilizatorului, poate schimba setările de utilizator, poate afișa diverse descărcări malware și multe altele.
Figura 01: XSS
Există două tipuri de XSS. Ele sunt XSS persistente și non-persistente. În persistente XSS, codul rău intenționat se salvează pe serverul din baza de date. Apoi va rula pe pagina normală. În non-persistente XSS, codul malitios injectat va fi trimis către server printr-o solicitare HTTP. De obicei, aceste atacuri pot apărea în câmpurile de căutare.
SQL Injection este un alt mecanism de hacking pentru site-uri web. Acesta plasează un cod malware în instrucțiunile SQL prin introducerea paginii web. Un site web conține formulare pentru a colecta intrările utilizatorilor. Atunci când solicită utilizatorului informații de intrare, cum ar fi numele de utilizator, userid, el poate furniza o instrucțiune SQL în loc de nume și de ea. Deci, poate rula pe baza de date a site-ului.
Figura 02: Injecție SQL
În plus, câteva exemple de injecții SQL sunt după cum urmează;
Poate fi o situație de căutare a unui utilizator prin userid. Dacă nu există nici o metodă de validare a intrărilor, utilizatorul poate introduce o intrare greșită. Dacă intră în ID-ul utilizatorului ca 100 SAU 1 = 1, va genera o instrucțiune SQL după cum urmează.
selectați * de la utilizatori unde userid = 100 sau 1 = 1;
Această instrucțiune SQL poate returna toți utilizatorii din baza de date deoarece 1 = 1 este întotdeauna adevărat. Dacă acesta a fost un hacker și dacă baza de date conținea date confidențiale, cum ar fi parolele, atunci el poate avea acces la numele de utilizator și parolele. Acesta este un exemplu pentru SQL Injection.
XSS este un tip de vulnerabilitate a securității calculatorului în aplicații web, care permite atacatorilor să injecteze scripturi de pe partea clientului în pagini web vizualizate de alți utilizatori. Injecția SQL este o tehnică de injectare a codului, care atacă aplicațiile bazate pe date care introduc instrucțiuni SQL într-o intrare depusă pentru execuție.
XSS injectează codul rău intenționat pe site-ul web, astfel încât acesta să ruleze în browser-ul utilizatorilor acelui site. Pe de altă parte, injectarea SQL adaugă codul SQL într-o casetă de introducere a formularului web pentru a avea acces la resurse sau pentru a face modificări datelor. Aceasta este diferența principală dintre XSS și SQL Injection. Cea mai obișnuită limbă pentru XSS este JavaScript, în timp ce injectarea SQL utilizează SQL.
Diferența dintre XSS și SQL Injection este aceea că XSS injectează codul malware pe site-ul Web, astfel încât codul se execută la utilizatorii acelui site de către browser, în timp ce injecția SQL adaugă cod SQL într-o casetă de introducere a formularului web pentru a avea acces la resurse sau pentru a face modificări datelor.
1. "Ce este injecția SQL? - Definiție de la WhatIs.com. "SearchSoftwareQuality, TechTarget. Disponibil aici
2. "Injecție SQL". Tutoriale Web W3Schools Online. Disponibil aici
3. "Ce este Scripting Cross-Site (XSS)? - Definiție de la WhatIs.com. "SearchSecurity, TechTarget. Disponibil aici
1. "26327769571" de Christiaan Colen (CC BY-SA 2.0) prin intermediul Flickr
2. "Injectarea SQL" prin Batka savemazaalai - munca proprie, (CC BY-SA 4.0) prin intermediul Commons Wikimedia