XSS və SQL Enjeksiyonu Arasındakı Fərq

Mündəricat:

XSS və SQL Enjeksiyonu Arasındakı Fərq
XSS və SQL Enjeksiyonu Arasındakı Fərq

Video: XSS və SQL Enjeksiyonu Arasındakı Fərq

Video: XSS və SQL Enjeksiyonu Arasındakı Fərq
Video: SQLi in 15 seconds (Sql Injection) - OWASP top 10 - A1 2024, Noyabr
Anonim

XSS və SQL Injection arasındakı əsas fərq ondan ibarətdir ki, XSS (və ya Saytlararası Skriptləmə) veb-sayta zərərli kodu yeridən kompüter təhlükəsizliyi zəifliyinin bir növüdür ki, kod həmin veb-saytın istifadəçilərində işləsin. brauzer isə SQL inyeksiyası resurslara giriş əldə etmək və ya dataya dəyişiklik etmək üçün veb formanın daxiletmə qutusuna SQL kodu əlavə edən başqa bir veb-sayt sındırma mexanizmidir.

Hər bir təşkilat biznesi və gəlirliliyi yaxşılaşdırmağa kömək edən vebsaytları saxlayır. Veb tətbiqi müştəri tərəfini və server tərəfini ehtiva edir. Müştəri tərəfinə proqramla qarşılıqlı əlaqə yaratmaq üçün istifadəçi interfeysləri daxildir. Server tərəfinə verilənlər bazası daxildir. Adətən, tətbiqin düzgün işləməsinə təsir edən təhlükələr var. Onlardan ikisi XSS və SQL inyeksiyasıdır.

XSS nədir?

XSS Cross Site Scripting mənasını verir və bu, ən çox yayılmış veb-sayt hücumlarından biridir. Bu, həmin vebsayta, eləcə də həmin vebsaytın istifadəçilərinə təsir göstərə bilər. XSS hücumu üçün zərərli kod yazmaq üçün ən çox yayılmış dil JavaScript-dir. XSS istifadəçi kukilərini oğurlaya, istifadəçi parametrlərini dəyişdirə, müxtəlif zərərli proqram endirmələrini göstərə və sairə bilər.

XSS və SQL enjeksiyonu arasındakı əsas fərq
XSS və SQL enjeksiyonu arasındakı əsas fərq

Şəkil 01: XSS

İki növ XSS var. Bunlar davamlı və davamlı olmayan XSS-dir. Davamlı XSS-də zərərli kod verilənlər bazasındakı serverdə saxlanılır. Sonra normal səhifədə işləyəcək. Davamlı olmayan XSS-də yeridilmiş zərərli kod HTTP sorğusu vasitəsilə Serverə göndəriləcək. Adətən, bu hücumlar axtarış sahələrində baş verə bilər.

SQL Injection nədir?

SQL Injection başqa bir veb-saytı sındıran mexanizmdir. Veb səhifə girişi vasitəsilə SQL ifadələrində zərərli kodu yerləşdirir. Vebsaytda istifadəçi daxiletmələrini toplamaq üçün formalar var. İstifadəçidən istifadəçi adı, istifadəçi adı kimi daxiletməni soruşduqda o, ad və onun əvəzinə SQL ifadəsini təqdim edə bilər. Beləliklə, o, vebsayt verilənlər bazasında işləyə bilər.

XSS və SQL inyeksiyası arasındakı fərq
XSS və SQL inyeksiyası arasındakı fərq

Şəkil 02: SQL Enjeksiyonu

Bundan başqa, SQL Enjeksiyonlarının bir neçə nümunəsi aşağıdakılardır;

İstifadəçinin istifadəçi identifikatoru vasitəsilə axtarışı üçün vəziyyət ola bilər. Əgər girişin yoxlanılması metodu yoxdursa, istifadəçi səhv daxil edə bilər. Əgər o, istifadəçi identifikatoruna 100 YA 1=1 kimi daxil olarsa, o, aşağıdakı kimi SQL ifadəsini yaradacaq.

userid=100 və ya 1=1 olan istifadəçilərdənseçin;

Bu SQL ifadəsi verilənlər bazasındakı bütün istifadəçiləri qaytara bilər, çünki 1=1 həmişə doğrudur. Əgər bu hakerdirsə və verilənlər bazasında parollar kimi məxfi məlumatlar varsa, o, istifadəçi adlarına və parollara giriş əldə edə bilər. Bu, SQL Injection üçün bir nümunədir.

XSS və SQL Enjeksiyonu Arasındakı Fərq Nədir?

XSS, təcavüzkarlara digər istifadəçilər tərəfindən baxılan veb səhifələrə müştəri tərəfi skriptləri yeritməyə imkan verən veb proqramlardakı kompüter təhlükəsizliyi zəifliyinin bir növüdür. SQL inyeksiyası, icra üçün verilmiş girişə SQL ifadələri daxil edən məlumatla idarə olunan tətbiqlərə hücum edən kod yeridmə texnikasıdır.

XSS vebsayta zərərli kodu yeridir, beləliklə kod brauzer vasitəsilə həmin vebsaytın istifadəçilərində işləsin. Digər tərəfdən, SQL inyeksiyası resurslara giriş əldə etmək və ya verilənlərə dəyişiklik etmək üçün veb formanın giriş qutusuna SQL kodu əlavə edir. Bu, XSS və SQL Injection arasındakı əsas fərqdir. XSS üçün ən ümumi dil JavaScript-dir, SQL inyeksiyası isə SQL-dən istifadə edir.

Cədvəl şəklində XSS və SQL enjeksiyonu arasındakı fərq
Cədvəl şəklində XSS və SQL enjeksiyonu arasındakı fərq

Xülasə – XSS və SQL Enjeksiyonu

XSS və SQL Injection arasındakı fərq ondan ibarətdir ki, XSS veb-sayta zərərli kodu yeridir, beləliklə, kod brauzer tərəfindən həmin vebsaytın istifadəçilərində yerinə yetirilir, SQL inyeksiyası isə veb formanın daxiletmə qutusuna SQL kodunu əlavə edir. resurslara giriş əldə etmək və ya dataya dəyişiklik etmək.

Tövsiyə: