Unterschied zwischen XSS und SQL -Injektion

Unterschied zwischen XSS und SQL -Injektion

Der Schlüsselunterschied Zwischen XSS und SQL Injection ist die XSS (oder Cross Site Scripting) ist eine Art von Anfälligkeit für Computersicherheit, die der Website böswilligen Code einfließt Webform -Eingabefeld, um Zugriff auf Ressourcen zu erhalten oder Änderungen an Daten vorzunehmen.

Jede Organisation unterhält Websites, die dazu beitragen, das Geschäft und die Rentabilität zu verbessern. Eine Webanwendung enthält die Client -Seite und die Serverseite. Die Client -Seite enthält die Benutzeroberflächen, um mit der Anwendung zu interagieren. Die Serverseite enthält die Datenbank. Normalerweise gibt es Bedrohungen, die das ordnungsgemäße Funktionieren der Anwendung beeinflussen. Zwei von ihnen sind XSS- und SQL -Injektion.

INHALT

1. Überblick und wichtiger Unterschied
2. Was ist XSS
3. Was ist SQL -Injektion
4. Seite an Seite Vergleich - XSS vs SQL -Injektion in tabellarischer Form
5. Zusammenfassung

Was ist XSS?

XSS steht für Cross Site Scripting und ist einer der häufigsten Website -Angriffe. Dies kann sowohl diese bestimmte Website als auch auf Benutzer dieser Website beeinflussen. Die häufigste Sprache, um böswilligen Code für XSS -Angriffe zu schreiben, ist das JavaScript. XSS kann die Cookies des Benutzers stehlen, die Benutzereinstellung ändern, verschiedene Malware -Downloads und viele mehr anzeigen.

Abbildung 01: XSS

Es gibt zwei Arten von XSS. Sie sind die anhaltenden und nicht-persistenten XSS. In persistent XSS, Der böswillige Code speichert dem Server in der Datenbank. Dann wird es auf der normalen Seite ausgeführt. In Nicht-persistentes XSS, Der injizierte böswillige Code wird über eine HTTP -Anforderung an den Server gesendet. Normalerweise können diese Angriffe in Suchfeldern auftreten.

Was ist SQL -Injektion?

Die SQL -Injektion ist ein weiterer Website -Hacking -Mechanismus. Es gibt einen böswilligen Code in SQL -Anweisungen über Webseiteneingaben ein. Eine Website enthält Formulare zum Sammeln von Benutzereingaben. Wenn er den Benutzer um Eingaben wie Benutzername, userID bittet. Es kann also in der Website -Datenbank ausgeführt werden.

Abbildung 02: SQL -Injektion

Darüber hinaus sind nur wenige Beispiele für SQL -Injektionen wie folgt;

Es kann eine Situation geben, um einen Benutzer über die BenutzerID zu suchen. Wenn keine Eingabevalidierungsmethode vorliegt, kann der Benutzer eine falsche Eingabe eingeben. Wenn er die BenutzerID als 100 oder 1 = 1 eingibt, generiert sie wie folgt eine SQL -Anweisung.

Wählen Sie * von Benutzern, wobei userID = 100 oder 1 = 1;

Diese SQL -Anweisung kann alle Benutzer in der Datenbank zurückgeben, da 1 = 1 immer wahr ist. Wenn dies ein Hacker war und die Datenbank vertrauliche Daten wie Passwörter enthielt, kann er Zugriff auf die Benutzernamen und Passwörter erhalten. Das ist ein Beispiel für die SQL -Injektion.

Was ist der Unterschied zwischen XSS und SQL -Injektion?

XSS ist eine Art von Anfälligkeit der Computersicherheit in Webanwendungen, mit der Angreifer clientseitige Skripte in Webseiten injizieren können, die von anderen Benutzern angezeigt werden. Die SQL -Injektion ist eine Code -Injektionstechnik, die datengesteuerte Anwendungen angreift, die SQL -Anweisungen in einen Eintrag für die Ausführung einlegen.

XSS verleiht der Website einen böswilligen Code, sodass der Code in den Benutzern dieser Website vom Browser ausgeführt wird. Auf der anderen Seite fügt die SQL -Injektion SQL -Code einem Webformulareingabefeld hinzu, um Zugriff auf Ressourcen zu erhalten oder Änderungen an Daten vorzunehmen. Dies ist der Hauptunterschied zwischen XSS und SQL -Injektion. Die häufigste Sprache für XSS ist JavaScript, während die SQL -Injektion SQL verwendet.

Zusammenfassung -XSS vs SQL -Injektion

Der Unterschied zwischen XSS und SQL Injection besteht darin, dass der XSS böswilligen Code in die Website injiziert, sodass der Code in den Benutzern dieser Website vom Browser ausgeführt wird, während die SQL -Injektion SQL -Code zu einem Webformulareingangsfeld hinzufügt, um Zugriff auf Ressourcen oder Ressourcen zu erhalten oder Änderungen an Daten vornehmen.

Referenz:

1.„Was ist SQL -Injektion? - Definition von Whatis.com.”SearchSoftwarequalität, TechTarget. Hier verfügbar 
2."SQL-Injektion.”W3schools Online -Web -Tutorials. Hier verfügbar 
3. „Was ist Cross-Site-Skript (XSS)? - Definition von Whatis.com.”SearchSecurity, TechTarget. Hier verfügbar  

Bild mit freundlicher Genehmigung:

1.'26327769571' von Christiaan Colen (CC BY-SA 2.0) über Flickr
2.'SQL Injection'by Batka Savemazaalai - eigene Arbeit, (CC BY -SA 4.0) über Commons Wikimedia