Die belangrikste verskil tussen XSS en SQL Injection is dat die XSS (of Cross Site Scripting) 'n tipe rekenaarsekuriteitskwesbaarheid is wat kwaadwillige kode na die webwerf inspuit sodat die kode in die gebruikers van daardie webwerf loop deur die blaaier terwyl die SQL-inspuiting nog 'n webwerf-inbraakmeganisme is wat SQL-kode by 'n webvorm-invoerkassie voeg om toegang tot hulpbronne te verkry of veranderinge aan data aan te bring.
Elke organisasie hou webwerwe in stand wat help om die besigheid en winsgewendheid te verbeter. 'n Webtoepassing bevat die kliëntkant en bedienerkant. Die kliëntkant bevat die gebruikerskoppelvlakke om met die toepassing te kommunikeer. Die bedienerkant sluit die databasis in. Gewoonlik is daar bedreigings wat die behoorlike werking van die toepassing beïnvloed. Twee van hulle is XSS en SQL-inspuiting.
Wat is XSS?
XSS staan vir Cross Site Scripting, en dit is een van die mees algemene webwerf-aanvalle. Dit kan daardie spesifieke webwerf sowel as gebruikers van daardie webwerf beïnvloed. Die mees algemene taal om kwaadwillige kode vir XSS-aanval te skryf, is die JavaScript. XSS kan gebruiker se webkoekies steel, gebruikerinstelling verander, verskeie wanware-aflaaie vertoon en vele meer.
Figuur 01: XSS
Daar is twee tipes XSS. Hulle is die aanhoudende en nie-aanhoudende XSS. In aanhoudende XSS word die kwaadwillige kode op die bediener in die databasis gestoor. Dan sal dit op die normale bladsy loop. In nie-aanhoudende XSS, sal die ingespuite kwaadwillige kode via 'n HTTP-versoek na die Bediener gestuur word. Gewoonlik kan hierdie aanvalle in soekvelde voorkom.
Wat is SQL-inspuiting?
SQL Injection is nog 'n webwerf-inbraakmeganisme. Dit plaas 'n kwaadwillige kode in SQL-stellings via webbladinvoer. 'n Webwerf bevat vorms om gebruikersinsette in te samel. Wanneer die gebruiker gevra word vir invoer soos gebruikersnaam, gebruiker-id, kan hy 'n SQL-stelling verskaf in plaas van naam en dit. Dit kan dus op die webwerf-databasis loop.
Figuur 02: SQL-inspuiting
Verder is min voorbeelde van SQL-inspuitings soos volg;
Daar kan 'n situasie wees om 'n gebruiker deur die gebruiker-ID te soek. As daar geen insetvalideringsmetode is nie, kan die gebruiker 'n verkeerde invoer invoer. As hy die gebruiker-ID as 100 OF 1=1 invoer, sal dit 'n SQL-stelling genereer soos volg.
selekteervan gebruikers waar gebruikers-ID=100 of 1=1;
Hierdie SQL-stelling kan al die gebruikers in die databasis terugstuur omdat 1=1 altyd waar is. As dit 'n kuberkraker was en as die databasis vertroulike data soos wagwoorde bevat het, kan hy toegang tot die gebruikersname en wagwoorde kry. Dit is 'n voorbeeld vir SQL Injection.
Wat is die verskil tussen XSS en SQL-inspuiting?
XSS is 'n tipe rekenaarsekuriteitskwesbaarheid in webtoepassings wat aanvallers in staat stel om kliënt-kant-skrifte in te spuit in webblaaie wat deur ander gebruikers bekyk word. SQL-inspuiting is 'n kode-inspuitingstegniek wat datagedrewe toepassings aanval wat SQL-stellings invoeg in 'n inskrywing wat vir uitvoering ingedien is.
XSS spuit kwaadwillige kode by die webwerf in, sodat die kode deur die blaaier in die gebruikers van daardie webwerf loop. Aan die ander kant voeg SQL-inspuiting SQL-kode by 'n webvorm-invoerkassie om toegang tot hulpbronne te verkry of om veranderinge aan data aan te bring. Dit is die belangrikste verskil tussen XSS en SQL Injection. Mees algemene taal vir XSS is JavaScript, terwyl SQL-inspuiting SQL gebruik.
Opsomming – XSS vs SQL Injection
Die verskil tussen XSS en SQL Injection is dat die XSS kwaadwillige kode by die webwerf inspuit, sodat kode in die gebruikers van daardie webwerf deur die blaaier uitgevoer word, terwyl die SQL-inspuiting SQL-kode by 'n webvorm-invoerboks voeg om kry toegang tot hulpbronne of om veranderinge aan data aan te bring.
