Ključna razlika med XSS in SQL Injection je, da je XSS (ali Cross Site Scripting) vrsta računalniške varnostne ranljivosti, ki vstavi zlonamerno kodo na spletno mesto, tako da se koda izvaja v uporabnikih tega spletnega mesta s strani brskalnik, medtem ko je vbrizgavanje SQL še en mehanizem vdiranja v spletno mesto, ki doda kodo SQL v vnosno polje spletnega obrazca za dostop do virov ali spreminjanje podatkov.
Vsaka organizacija vzdržuje spletne strani, ki pomagajo izboljšati poslovanje in dobičkonosnost. Spletna aplikacija vsebuje odjemalsko in strežniško stran. Odjemalska stran vključuje uporabniške vmesnike za interakcijo z aplikacijo. Strežniška stran vključuje bazo podatkov. Običajno obstajajo grožnje, ki vplivajo na pravilno delovanje aplikacije. Dva od njih sta XSS in SQL injection.
Kaj je XSS?
XSS pomeni Cross Site Scripting in je eden najpogostejših napadov na spletna mesta. Lahko vpliva na določeno spletno mesto in tudi na uporabnike tega spletnega mesta. Najpogostejši jezik za pisanje zlonamerne kode za napad XSS je JavaScript. XSS lahko ukrade uporabnikove piškotke, spremeni uporabniške nastavitve, prikaže različne prenose zlonamerne programske opreme in še veliko več.
Slika 01: XSS
Obstajata dve vrsti XSS. So obstojni in neobstojni XSS. Pri obstojnem XSS se zlonamerna koda shrani na strežnik v bazi podatkov. Nato se bo izvajal na običajni strani. Pri neobstojnem XSS bo vbrizgana zlonamerna koda poslana strežniku prek zahteve HTTP. Običajno lahko do teh napadov pride v iskalnih poljih.
Kaj je SQL Injection?
Vbrizgavanje SQL je še en mehanizem vdiranja v spletna mesta. Zlonamerno kodo postavi v stavke SQL prek vnosa spletne strani. Spletno mesto vsebuje obrazce za zbiranje vnosov uporabnikov. Ko od uporabnika zahteva vnos, kot je uporabniško ime, ID uporabnika, lahko ponudi stavek SQL namesto imena in tega. Torej se lahko izvaja v bazi podatkov spletnega mesta.
Slika 02: Vbrizgavanje SQL
Poleg tega je nekaj primerov vbrizgavanja SQL naslednjih;
Lahko pride do situacije, da uporabnika iščete prek ID-ja uporabnika. Če ni metode preverjanja vnosa, lahko uporabnik vnese napačen vnos. Če vnese ID uporabnika kot 100 ALI 1=1, bo ustvaril stavek SQL, kot sledi.
izberimed uporabniki, kjer je userid=100 ali 1=1;
Ta stavek SQL lahko vrne vse uporabnike v bazi podatkov, ker je 1=1 vedno resnično. Če je bil to heker in če je zbirka podatkov vsebovala zaupne podatke, kot so gesla, potem lahko dobi dostop do uporabniških imen in gesel. To je primer za vbrizgavanje SQL.
Kakšna je razlika med XSS in SQL Injection?
XSS je vrsta računalniške varnostne ranljivosti v spletnih aplikacijah, ki napadalcem omogoča vstavljanje skriptov na strani odjemalca na spletne strani, ki si jih ogledujejo drugi uporabniki. Vbrizgavanje SQL je tehnika vbrizgavanja kode, ki napada aplikacije, ki temeljijo na podatkih in vstavijo stavke SQL v vnos, vložen za izvedbo.
XSS vstavi zlonamerno kodo na spletno mesto, tako da brskalnik zažene to kodo v uporabnikih tega spletnega mesta. Po drugi strani pa vbrizgavanje SQL doda kodo SQL v vnosno polje spletnega obrazca, da pridobi dostop do virov ali spremeni podatke. To je glavna razlika med XSS in SQL Injection. Najpogostejši jezik za XSS je JavaScript, medtem ko SQL injection uporablja SQL.
Povzetek – XSS proti SQL Injection
Razlika med XSS in SQL Injection je v tem, da XSS vbrizga zlonamerno kodo na spletno stran, tako da se ta koda izvede v uporabnikih tega spletnega mesta s strani brskalnika, medtem ko SQL injection doda kodo SQL v vnosno polje spletnega obrazca, da pridobite dostop do virov ali spremenite podatke.
