Kľúčový rozdiel medzi XSS a SQL Injection je v tom, že XSS (alebo Cross Site Scripting) je typ zraniteľnosti počítačovej bezpečnosti, ktorá vkladá na webovú stránku škodlivý kód tak, aby sa kód spúšťal medzi používateľmi tejto webovej lokality prehliadač, zatiaľ čo vstrekovanie SQL je ďalší mechanizmus hackovania webových stránok, ktorý pridáva kód SQL do vstupného poľa webového formulára, aby získal prístup k zdrojom alebo vykonal zmeny v údajoch.
Každá organizácia prevádzkuje webové stránky, ktoré pomáhajú zlepšovať podnikanie a ziskovosť. Webová aplikácia obsahuje stranu klienta a stranu servera. Klientska strana obsahuje používateľské rozhrania na interakciu s aplikáciou. Na strane servera je databáza. Zvyčajne existujú hrozby, ktoré ovplyvňujú správne fungovanie aplikácie. Dve z nich sú XSS a SQL injection.
Čo je XSS?
XSS je skratka pre Cross Site Scripting a je to jeden z najbežnejších útokov na webové stránky. Môže to ovplyvniť túto konkrétnu webovú stránku, ako aj používateľov tejto webovej lokality. Najbežnejším jazykom na písanie škodlivého kódu pre útok XSS je JavaScript. XSS môže ukradnúť súbory cookie používateľov, zmeniť používateľské nastavenia, zobraziť rôzne stiahnuté súbory škodlivého softvéru a mnoho ďalších.
Obrázok 01: XSS
Existujú dva typy XSS. Sú to perzistentné a neperzistentné XSS. Pri perzistentnom XSS sa škodlivý kód uloží na server do databázy. Potom sa spustí na normálnej stránke. V neperzistentnom XSS bude vložený škodlivý kód odoslaný na server prostredníctvom požiadavky HTTP. Zvyčajne sa tieto útoky môžu vyskytnúť vo vyhľadávacích poliach.
Čo je SQL Injection?
SQL Injection je ďalší mechanizmus hackovania webových stránok. Umiestňuje škodlivý kód do príkazov SQL prostredníctvom vstupu z webovej stránky. Webová stránka obsahuje formuláre na zhromažďovanie vstupov používateľov. Pri požiadaní používateľa o vstup, ako je meno používateľa, ID používateľa, môže namiesto mena a toho poskytnúť príkaz SQL. Takže môže bežať v databáze webových stránok.
Obrázok 02: SQL Injection
Okrem toho niekoľko príkladov SQL Injections je nasledujúcich;
Môže nastať situácia pri vyhľadávaní používateľa prostredníctvom ID používateľa. Ak neexistuje žiadna metóda overenia vstupu, používateľ môže zadať nesprávny vstup. Ak zadá ID užívateľa ako 100 ALEBO 1=1, vygeneruje SQL príkaz nasledovne.
vybertez používateľov, kde userid=100 alebo 1=1;
Tento príkaz SQL môže vrátiť všetkých používateľov v databáze, pretože 1=1 je vždy pravda. Ak to bol hacker a ak databáza obsahovala dôverné údaje, ako sú heslá, môže získať prístup k používateľským menám a heslám. Toto je príklad pre SQL Injection.
Aký je rozdiel medzi XSS a SQL Injection?
XSS je typ chyby zabezpečenia počítača vo webových aplikáciách, ktorý útočníkom umožňuje vkladať skripty na strane klienta do webových stránok, ktoré si prezerajú iní používatelia. SQL injection je technika vstrekovania kódu, ktorá útočí na dátovo riadené aplikácie, ktoré vkladajú príkazy SQL do záznamu, ktorý sa má vykonať.
XSS vloží na webovú stránku škodlivý kód, takže kód sa spustí v prehliadači používateľom danej webovej lokality. Na druhej strane vstrekovanie SQL pridáva kód SQL do vstupného poľa webového formulára, aby získal prístup k zdrojom alebo vykonal zmeny v údajoch. Toto je hlavný rozdiel medzi XSS a SQL Injection. Najbežnejším jazykom pre XSS je JavaScript, zatiaľ čo SQL injection používa SQL.
Zhrnutie – XSS vs SQL Injection
Rozdiel medzi XSS a SQL Injection je v tom, že XSS vloží na webovú lokalitu škodlivý kód, takže kód sa spustí v používateľoch tejto webovej lokality prehliadačom, zatiaľ čo injekcia SQL pridá kód SQL do vstupného poľa webového formulára získať prístup k zdrojom alebo vykonať zmeny v údajoch.
