Ključna razlika između XSS-a i SQL Injection-a je u tome što je XSS (ili Cross Site Scripting) vrsta računalne sigurnosne ranjivosti koja ubacuje zlonamjerni kod na web-mjesto tako da se kôd pokreće u korisnicima tog web-mjesta od strane preglednik dok je SQL injection još jedan mehanizam za hakiranje web stranica koji dodaje SQL kod u okvir za unos web obrasca kako bi dobio pristup resursima ili napravio izmjene podataka.
Svaka organizacija održava web stranice koje pomažu u poboljšanju poslovanja i profitabilnosti. Web aplikacija sadrži stranu klijenta i stranu poslužitelja. Klijentska strana uključuje korisnička sučelja za interakciju s aplikacijom. Poslužiteljska strana uključuje bazu podataka. Obično postoje prijetnje koje utječu na pravilan rad aplikacije. Dvije od njih su XSS i SQL injection.
Što je XSS?
XSS je kratica za Cross Site Scripting i jedan je od najčešćih napada na web stranice. Može utjecati na to određeno web mjesto, kao i na korisnike tog web mjesta. Najčešći jezik za pisanje zlonamjernog koda za XSS napad je JavaScript. XSS može ukrasti korisnikove kolačiće, promijeniti korisničke postavke, prikazati različita preuzimanja zlonamjernog softvera i još mnogo toga.
Slika 01: XSS
Postoje dvije vrste XSS-a. Oni su postojani i nepostojani XSS. U postojanom XSS-u zlonamjerni kod sprema se na poslužitelj u bazi podataka. Zatim će se pokrenuti na normalnoj stranici. U nepostojanom XSS-u, umetnuti zlonamjerni kod bit će poslan poslužitelju putem HTTP zahtjeva. Obično se ovi napadi mogu dogoditi u poljima pretraživanja.
Što je SQL Injection?
SQL Injection još je jedan mehanizam za hakiranje web stranica. Smješta zlonamjerni kod u SQL izjave putem unosa web-stranice. Web stranica sadrži obrasce za prikupljanje korisničkih unosa. Kada od korisnika traži unos kao što je korisničko ime, id korisnika, on može dati SQL naredbu umjesto imena i njega. Dakle, može raditi u bazi podataka web stranice.
Slika 02: SQL Injection
Nadalje, nekoliko primjera SQL injekcija je kako slijedi;
Može doći do situacije da se korisnik pretražuje preko ID-a korisnika. Ako ne postoji metoda provjere valjanosti unosa, korisnik može unijeti pogrešan unos. Ako on unese ID korisnika kao 100 ILI 1=1, to će generirati SQL naredbu kako slijedi.
odaberiteod korisnika gdje je userid=100 ili 1=1;
Ova SQL izjava može vratiti sve korisnike u bazi podataka jer je 1=1 uvijek istina. Ako je to bio haker i ako je baza podataka sadržavala povjerljive podatke poput lozinki, tada on može dobiti pristup korisničkim imenima i lozinkama. Ovo je primjer za SQL Injection.
Koja je razlika između XSS i SQL Injection?
XSS je vrsta računalne sigurnosne ranjivosti u web aplikacijama koja napadačima omogućuje ubacivanje skripti na strani klijenta u web stranice koje gledaju drugi korisnici. SQL injection je tehnika ubacivanja koda koja napada aplikacije vođene podacima koje umeću SQL naredbe u unos podnesen za izvršenje.
XSS ubacuje zlonamjerni kod na web-mjesto, tako da se taj kod pokreće u korisnicima tog web-mjesta putem preglednika. S druge strane, SQL injection dodaje SQL kod u okvir za unos web obrasca kako bi se dobio pristup resursima ili izvršile izmjene podataka. Ovo je glavna razlika između XSS i SQL Injection. Najčešći jezik za XSS je JavaScript dok SQL injection koristi SQL.
Sažetak – XSS vs SQL Injection
Razlika između XSS i SQL Injection je u tome što XSS ubacuje zlonamjerni kod na web mjesto, tako da se kod korisnika tog web mjesta izvršava u pregledniku, dok SQL injection dodaje SQL kod u okvir za unos web obrasca dobiti pristup resursima ili napraviti promjene podataka.
