Pagrindinis skirtumas tarp XSS ir SQL injekcijos yra tas, kad XSS (arba Cross Site Scripting) yra kompiuterio saugos pažeidžiamumo tipas, įterpiantis į svetainę kenkėjišką kodą, kad kodas būtų paleistas tos svetainės naudotojuose naršyklėje, o SQL injekcija yra dar vienas svetainės įsilaužimo mechanizmas, kuris prideda SQL kodą į žiniatinklio formos įvesties laukelį, kad būtų galima pasiekti išteklius arba atlikti duomenų pakeitimus.
Kiekviena organizacija tvarko svetaines, kurios padeda pagerinti verslą ir pelningumą. Žiniatinklio programoje yra kliento ir serverio pusės. Kliento pusėje yra vartotojo sąsajos, skirtos sąveikai su programa. Serverio pusėje yra duomenų bazė. Paprastai yra grėsmių, kurios turi įtakos tinkamam programos veikimui. Du iš jų yra XSS ir SQL injekcija.
Kas yra XSS?
XSS reiškia Cross Site Scripting, ir tai yra viena iš labiausiai paplitusių svetainių atakų. Tai gali turėti įtakos konkrečiai svetainei ir tos svetainės naudotojams. Dažniausia kalba, kuria rašomas kenkėjiškas kodas XSS atakai, yra JavaScript. XSS gali pavogti vartotojo slapukus, pakeisti vartotojo nustatymus, rodyti įvairius kenkėjiškų programų atsisiuntimus ir dar daugiau.
01 pav.: XSS
Yra dviejų tipų XSS. Jie yra nuolatiniai ir nenuolatiniai XSS. Esant nuolatiniam XSS, kenkėjiškas kodas išsaugomas duomenų bazėje esančiame serveryje. Tada jis bus paleistas įprastame puslapyje. Esant nenuolatiniam XSS, įvestas kenkėjiškas kodas bus išsiųstas į serverį HTTP užklausa. Paprastai šios atakos gali įvykti paieškos laukeliuose.
Kas yra SQL įpurškimas?
SQL įpurškimas yra dar vienas įsilaužimo į svetainę mechanizmas. Jis įdeda kenkėjišką kodą į SQL sakinius per tinklalapio įvestį. Svetainėje yra formų, skirtų vartotojų įvestims rinkti. Prašydamas vartotojo įvesti, pvz., vartotojo vardą, vartotojo ID, jis gali pateikti SQL teiginį, o ne pavadinimą ir jį. Taigi, jis gali veikti svetainės duomenų bazėje.
02 pav.: SQL įpurškimas
Be to, keli SQL įpurškimų pavyzdžiai yra tokie;
Gali būti situacija, kai reikia ieškoti vartotojo naudojant vartotojo ID. Jei nėra įvesties patvirtinimo metodo, vartotojas gali įvesti neteisingą įvestį. Jei jis įveda vartotojo ID kaip 100 ARBA 1=1, jis sugeneruos SQL sakinį taip.
pasirinkiteiš naudotojų, kurių vartotojo ID=100 arba 1=1;
Šis SQL sakinys gali grąžinti visus duomenų bazės vartotojus, nes 1=1 visada yra teisinga. Jei tai buvo įsilaužėlis ir jei duomenų bazėje buvo konfidencialių duomenų, pvz., slaptažodžių, jis gali gauti prieigą prie vartotojo vardų ir slaptažodžių. Tai yra SQL įpurškimo pavyzdys.
Kuo skiriasi XSS ir SQL įpurškimas?
XSS yra kompiuterių saugos pažeidžiamumas žiniatinklio programose, leidžiantis užpuolikams įterpti kliento scenarijus į kitų vartotojų peržiūrėtus tinklalapius. SQL įterpimas yra kodo įterpimo technika, kuri atakuoja duomenimis pagrįstas programas, kurios įterpia SQL sakinius į įrašą, pateiktą vykdyti.
XSS į svetainę įveda kenkėjišką kodą, kad šis kodas būtų paleistas naršyklės tos svetainės naudotojuose. Kita vertus, SQL injekcija prideda SQL kodą į žiniatinklio formos įvesties laukelį, kad būtų galima pasiekti išteklius arba atlikti duomenų pakeitimus. Tai yra pagrindinis skirtumas tarp XSS ir SQL injekcijos. Dažniausia XSS kalba yra JavaScript, o SQL įterpimas naudoja SQL.
Santrauka – XSS vs SQL įpurškimas
Skirtumas tarp XSS ir SQL injekcijos yra tas, kad XSS į svetainę įveda kenkėjišką kodą, todėl naršyklė tos svetainės naudotojams paleidžia kodą, o SQL įterpimas prideda SQL kodą į žiniatinklio formos įvesties laukelį gauti prieigą prie išteklių arba keisti duomenis.
