Nøkkelforskjellen mellom XSS og SQL Injection er at XSS (eller Cross Site Scripting) er en type datasikkerhetssårbarhet som injiserer ondsinnet kode til nettstedet slik at koden kjører i brukerne av det nettstedet av nettleser mens SQL-injeksjonen er en annen hackingmekanisme for nettsteder som legger til SQL-kode i en inndataboks for nettskjemaer for å få tilgang til ressurser eller for å gjøre endringer i data.
Hver organisasjon vedlikeholder nettsider som bidrar til å forbedre virksomheten og lønnsomheten. En nettapplikasjon inneholder klientsiden og serversiden. Klientsiden inkluderer brukergrensesnittene for å samhandle med applikasjonen. Serversiden inkluderer databasen. Vanligvis er det trusler som påvirker applikasjonens funksjon. To av dem er XSS og SQL-injeksjon.
Hva er XSS?
XSS står for Cross Site Scripting, og det er et av de vanligste nettstedangrepene. Det kan påvirke det aktuelle nettstedet så vel som brukere av det nettstedet. Det vanligste språket for å skrive ondsinnet kode for XSS-angrep er JavaScript. XSS kan stjele brukerens informasjonskapsler, endre brukerinnstillinger, vise diverse nedlastinger av skadelig programvare og mye mer.
Figur 01: XSS
Det finnes to typer XSS. De er den vedvarende og ikke-vedvarende XSS. I vedvarende XSS lagres den skadelige koden på serveren i databasen. Deretter vil den kjøre på den vanlige siden. I ikke-vedvarende XSS vil den injiserte ondsinnede koden bli sendt til serveren via en HTTP-forespørsel. Vanligvis kan disse angrepene forekomme i søkefelt.
Hva er SQL-injeksjon?
SQL Injection er en annen mekanisme for hacking av nettsteder. Den plasserer en ondsinnet kode i SQL-setninger via nettsideinndata. Et nettsted inneholder skjemaer for å samle brukerinndata. Når du ber brukeren om inndata som brukernavn, bruker-id, kan han oppgi en SQL-setning i stedet for navn og det. Så den kan kjøres på nettstedets database.
Figur 02: SQL-injeksjon
I tillegg er noen få eksempler på SQL-injeksjoner som følger;
Det kan være en situasjon å søke en bruker gjennom bruker-ID. Hvis det ikke er noen inndatavalideringsmetode, kan brukeren skrive inn feil. Hvis han skriver inn bruker-ID som 100 ELLER 1=1, vil det generere en SQL-setning som følger.
selectfra brukere der userid=100 eller 1=1;
Denne SQL-setningen kan returnere alle brukerne i databasen fordi 1=1 alltid er sann. Hvis dette var en hacker og hvis databasen inneholdt konfidensielle data som passord, kan han få tilgang til brukernavn og passord. Det er et eksempel på SQL Injection.
Hva er forskjellen mellom XSS og SQL-injeksjon?
XSS er en type datasikkerhetssårbarhet i nettapplikasjoner som gjør det mulig for angripere å injisere klientsideskript på nettsider som vises av andre brukere. SQL-injeksjon er en kodeinjeksjonsteknikk som angriper datadrevne applikasjoner som setter inn SQL-setninger i en oppføring som er arkivert for kjøring.
XSS injiserer ondsinnet kode til nettstedet, slik at koden kjører i brukerne av det nettstedet av nettleseren. På den annen side legger SQL-injeksjon SQL-kode til en inndataboks for nettskjemaer for å få tilgang til ressurser eller for å gjøre endringer i data. Dette er hovedforskjellen mellom XSS og SQL Injection. Det vanligste språket for XSS er JavaScript, mens SQL-injeksjon bruker SQL.
Sammendrag – XSS vs SQL Injection
Forskjellen mellom XSS og SQL Injection er at XSS injiserer ondsinnet kode til nettstedet, slik at koden kjøres i brukerne av den nettsiden av nettleseren mens SQL-injeksjonen legger til SQL-kode i en nettskjemainndataboks for å få tilgang til ressurser eller for å gjøre endringer i data.
