Ключовата разлика между XSS и SQL Injection е, че XSS (или Cross Site Scripting) е вид уязвимост на компютърната сигурност, която инжектира зловреден код в уебсайта, така че кодът да се изпълнява в потребителите на този уебсайт от браузър, докато SQL инжекцията е друг механизъм за хакване на уебсайтове, който добавя SQL код към поле за въвеждане на уеб формуляр, за да получи достъп до ресурси или да направи промени в данните.
Всяка организация поддържа уебсайтове, които помагат за подобряване на бизнеса и рентабилността. Уеб приложението съдържа клиентската и сървърната страна. Клиентската страна включва потребителски интерфейси за взаимодействие с приложението. Страната на сървъра включва базата данни. Обикновено има заплахи, които засягат правилното функциониране на приложението. Две от тях са XSS и SQL инжекция.
Какво е XSS?
XSS означава Cross Site Scripting и това е една от най-често срещаните атаки към уебсайтове. Може да засегне този конкретен уебсайт, както и потребителите на този уебсайт. Най-често срещаният език за писане на зловреден код за XSS атака е JavaScript. XSS може да открадне потребителски бисквитки, да промени потребителските настройки, да покаже различни изтегляния на зловреден софтуер и много други.
Фигура 01: XSS
Има два вида XSS. Те са постоянен и непостоянен XSS. При постоянен XSS злонамереният код се записва на сървъра в базата данни. След това ще работи на нормалната страница. При непостоянен XSS, инжектираният злонамерен код ще бъде изпратен до сървъра чрез HTTP заявка. Обикновено тези атаки могат да възникнат в полетата за търсене.
Какво е SQL инжектиране?
SQL Injection е друг механизъм за хакване на уебсайтове. Той поставя злонамерен код в SQL изрази чрез въвеждане на уеб страница. Уебсайтът съдържа формуляри за събиране на въведени данни от потребителите. Когато пита потребителя за въвеждане като потребителско име, потребителски идентификатор, той може да предостави SQL израз вместо име и него. Така че може да работи в базата данни на уебсайта.
Фигура 02: SQL инжектиране
Освен това, няколко примера за SQL инжекции са както следва;
Може да възникне ситуация за търсене на потребител през потребителския идентификатор. Ако няма метод за проверка на въвеждането, потребителят може да въведе грешно въвеждане. Ако той въведе потребителския идентификатор като 100 ИЛИ 1=1, това ще генерира SQL оператор, както следва.
изберетеот потребители, където userid=100 или 1=1;
Този SQL израз може да върне всички потребители в базата данни, защото 1=1 винаги е вярно. Ако това е хакер и ако базата данни съдържа поверителни данни като пароли, тогава той може да получи достъп до потребителските имена и пароли. Това е пример за SQL инжекция.
Каква е разликата между XSS и SQL инжектиране?
XSS е вид уязвимост на компютърната сигурност в уеб приложенията, която позволява на атакуващите да инжектират скриптове от страна на клиента в уеб страници, разглеждани от други потребители. SQL инжектирането е техника за инжектиране на код, която атакува управлявани от данни приложения, които вмъкват SQL изрази в запис, подаден за изпълнение.
XSS инжектира зловреден код в уебсайта, така че този код да се изпълнява в потребителите на този уебсайт от браузъра. От друга страна, SQL инжекцията добавя SQL код към полето за въвеждане на уеб формуляр, за да получи достъп до ресурси или да направи промени в данните. Това е основната разлика между XSS и SQL Injection. Най-разпространеният език за XSS е JavaScript, докато SQL инжекцията използва SQL.
Резюме – XSS срещу SQL инжектиране
Разликата между XSS и SQL Injection е, че XSS инжектира злонамерен код в уебсайта, така че този код да се изпълнява в потребителите на този уебсайт от браузъра, докато SQL инжекцията добавя SQL код към полето за въвеждане на уеб формуляр, за да получите достъп до ресурси или да правите промени в данните.
