Rozdiel medzi vstrekovaním XSS a SQL

kľúčový rozdiel medzi XSS a SQL Vstrekovanie je to XSS (alebo Cross Site Scripting) je typ zraniteľnosti zabezpečenia počítača, ktorý na web vloží škodlivý kód, takže kód sa spustí používateľom tohto webu pomocou prehliadača, zatiaľ čo injekcia SQL je ďalším mechanizmom hackovania webových stránok, ktorý pridáva kód SQL do vstupné pole webového formulára na získanie prístupu k zdrojom alebo na vykonanie zmien v údajoch.

Každá organizácia spravuje webové stránky, ktoré pomáhajú zlepšovať podnikanie a ziskovosť. Webová aplikácia obsahuje stranu klienta a stranu servera. Klientská strana obsahuje užívateľské rozhrania na interakciu s aplikáciou. Strana servera obsahuje databázu. Zvyčajne existujú hrozby, ktoré ovplyvňujú správne fungovanie aplikácie. Dva z nich sú XSS a SQL injection.

OBSAH

1. Prehľad a kľúčový rozdiel
2. Čo je to XSS
3. Čo je to SQL Injection
4. Porovnanie bok po boku - injekcia XSS vs SQL v tabuľkovej forme
5. Zhrnutie

Čo je to XSS?

XSS je skratka pre Cross Site Scripting a je to jeden z najbežnejších útokov na webové stránky. Môže to ovplyvniť konkrétnu webovú stránku, ako aj jej používateľov. Najbežnejším jazykom na písanie škodlivého kódu pre útok XSS je JavaScript. XSS môže ukradnúť súbory cookie používateľa, zmeniť nastavenie používateľa, zobraziť rôzne súbory na prevzatie škodlivého softvéru a mnoho ďalších.

Obrázok 01: XSS

Existujú dva typy XSS. Sú to perzistentné a perzistentné XSS. v pretrvávajúce XSS, škodlivý kód sa uloží na server v databáze. Potom sa spustí na normálnej stránke. v perzistentné XSS, vstreknutý škodlivý kód bude na server odoslaný prostredníctvom požiadavky HTTP. Tieto útoky sa zvyčajne môžu vyskytnúť vo vyhľadávacích poliach.

Čo je to SQL Injection?

Injekcia SQL je ďalší mechanizmus hackovania webových stránok. Vložením škodlivého kódu do príkazov SQL prostredníctvom zadania webovej stránky. Webová stránka obsahuje formuláre na zhromažďovanie používateľských vstupov. Pri požiadaní používateľa o vstup, ako je napríklad užívateľské meno, môže užívateľ namiesto mena a názvu poskytnúť príkaz SQL. Môže teda bežať v databáze webových stránok.

Obrázok 02: Vstrekovanie SQL

Ďalej je uvedených niekoľko príkladov injekcií SQL;

Môže nastať situácia, keď bude užívateľ vyhľadávať prostredníctvom ID užívateľa. Ak neexistuje žiadna metóda overenia vstupu, používateľ môže zadať nesprávny vstup. Ak zadá userid ako 100 ALEBO 1 = 1, vygeneruje príkaz SQL nasledovne.

vyberte * od používateľov, kde userid = 100 alebo 1 = 1;

Tento príkaz SQL môže vrátiť všetkých používateľov v databáze, pretože 1 = 1 je vždy pravda. Ak to bol hacker a databáza obsahovala dôverné údaje, ako sú heslá, môže získať prístup k používateľským menám a heslám. Toto je príklad pre SQL Injection.

Aký je rozdiel medzi XSS a SQL Injection?

XSS je typ zabezpečenia počítačovej bezpečnosti vo webových aplikáciách, ktorý útočníkom umožňuje vkladať skripty na strane klienta na webové stránky, ktoré si prezerajú ostatní používatelia. SQL injection je technika vstrekovania kódu, ktorá útočí na aplikácie riadené údajmi, ktoré vkladajú príkazy SQL do záznamu, ktorý sa podáva na vykonanie.

XSS vstrekuje škodlivý kód na webovú stránku, takže tento kód sa spustí používateľom tohto webu pomocou prehliadača. Na druhú stranu, SQL injection pridáva SQL kód do vstupného poľa webového formulára, aby získal prístup k zdrojom alebo vykonal zmeny v údajoch. Toto je hlavný rozdiel medzi XSS a SQL Injection. Najbežnejším jazykom pre XSS je JavaScript, zatiaľ čo SQL injection používa SQL.

Zhrnutie - XSS vs SQL Injection

Rozdiel medzi XSS a SQL Injection spočíva v tom, že XSS injektuje škodlivý kód na webovú stránku, takže kód sa spustí používateľom tohto webu v prehliadači, zatiaľ čo injekcia SQL pridá do vstupného poľa webového formulára SQL kód na získanie prístupu k zdrojom alebo vykonať zmeny v údajoch.

referencie:

1. „Čo je to SQL Injection? - Definícia z WhatIs.com. “ SearchSoftwareQuality, TechTarget. K dispozícii tu 
2. „Vstrekovanie SQL“. Webové príručky W3Schools online. K dispozícii tu 
3. „Čo je skriptovanie viacerých stránok (XSS)? - Definícia z WhatIs.com. “ SearchSecurity, TechTarget. K dispozícii tu  

S láskavým dovolením:

1.26267769571 'od Christiaan Colen (CC BY-SA 2.0) cez Flickr
2.'SQL injection'By Batka savemazaalai - Vlastná práca, (CC BY-SA 4.0) prostredníctvom Commons Wikimedia