XSS және SQL Injection арасындағы негізгі айырмашылық мынада: XSS (немесе Cross Site Scripting) компьютерлік қауіпсіздік осалдығы түрі болып табылады, ол веб-сайтқа зиянды кодты енгізеді, осылайша код сол веб-сайттың пайдаланушыларында жұмыс істейді. браузер, ал SQL инъекциясы ресурстарға қол жеткізу немесе деректерге өзгертулер енгізу үшін веб-пішіннің енгізу жолағына SQL кодын қосатын веб-сайтты бұзудың басқа механизмі болып табылады.
Әр ұйымда бизнес пен кірісті жақсартуға көмектесетін веб-сайттар бар. Веб-бағдарлама клиенттік және сервер жағын қамтиды. Клиенттік жағы қолданбамен әрекеттесу үшін пайдаланушы интерфейстерін қамтиды. Сервер жағы дерекқорды қамтиды. Әдетте, қолданбаның дұрыс жұмыс істеуіне әсер ететін қауіптер бар. Олардың екеуі - XSS және SQL инъекциясы.
XSS дегеніміз не?
XSS сайтаралық сценарийді білдіреді және бұл веб-сайтқа жасалған ең көп таралған шабуылдардың бірі. Бұл нақты веб-сайтқа, сондай-ақ сол веб-сайттың пайдаланушыларына әсер етуі мүмкін. XSS шабуылына арналған зиянды кодты жазудың ең көп таралған тілі JavaScript болып табылады. XSS пайдаланушының cookie файлдарын ұрлай алады, пайдаланушы параметрін өзгерте алады, әртүрлі зиянды бағдарламаларды жүктеп алуды және т.б. көрсете алады.
01-сурет: XSS
XSS екі түрі бар. Олар тұрақты және тұрақты емес XSS. Тұрақты XSS жүйесінде зиянды код дерекқордағы серверге сақталады. Содан кейін ол қалыпты бетте іске қосылады. Тұрақты емес XSS жүйесінде енгізілген зиянды код серверге HTTP сұрауы арқылы жіберіледі. Әдетте бұл шабуылдар іздеу өрістерінде орын алуы мүмкін.
SQL инъекциясы дегеніміз не?
SQL Injection - бұл веб-сайтты бұзудың тағы бір механизмі. Ол зиянды кодты SQL мәлімдемелеріне веб-бет енгізу арқылы орналастырады. Веб-сайтта пайдаланушы енгізулерін жинауға арналған пішіндер бар. Пайдаланушыдан пайдаланушы аты, пайдаланушы идентификаторы сияқты енгізуді сұрағанда, ол атау және оның орнына SQL мәлімдемесін бере алады. Осылайша, ол веб-сайт дерекқорында жұмыс істей алады.
02-сурет: SQL инъекциясы
Сонымен қатар, SQL инъекцияларының бірнеше мысалдары төмендегідей;
Пайдаланушыны пайдаланушы идентификаторы арқылы іздеу жағдайы болуы мүмкін. Енгізуді тексеру әдісі болмаса, пайдаланушы қате енгізуді енгізуі мүмкін. Егер ол пайдаланушы идентификаторын 100 НЕМЕСЕ 1=1 деп енгізсе, ол келесідей SQL мәлімдемесін жасайды.
userid=100 немесе 1=1 болатын пайдаланушылардантаңдаңыз;
Бұл SQL мәлімдемесі дерекқордағы барлық пайдаланушыларды қайтара алады, себебі 1=1 әрқашан дұрыс. Егер бұл хакер болса және дерекқорда құпия сөздер сияқты құпия деректер болса, ол пайдаланушы аттары мен құпия сөздерге қол жеткізе алады. Бұл SQL Injection үлгісі.
XSS және SQL инъекциясының айырмашылығы неде?
XSS - шабуылдаушыларға басқа пайдаланушылар қарайтын веб-беттерге клиенттік сценарийлерді енгізуге мүмкіндік беретін веб-қосымшалардағы компьютер қауіпсіздігінің осалдығы түрі. SQL инъекциясы – орындауға берілген жазбаға SQL мәлімдемелерін кірістіретін деректерге негізделген қолданбаларға шабуыл жасайтын код енгізу әдісі.
XSS веб-сайтқа зиянды кодты енгізеді, осылайша код сол веб-сайттың пайдаланушыларында браузер арқылы іске қосылады. Екінші жағынан, SQL инъекциясы ресурстарға қол жеткізу немесе деректерге өзгертулер енгізу үшін веб-пішіннің енгізу жолағына SQL кодын қосады. Бұл XSS және SQL Injection арасындағы негізгі айырмашылық. XSS үшін ең көп таралған тіл JavaScript, ал SQL инъекциясында SQL қолданылады.
Қорытынды – XSS және SQL инъекциясы
XSS және SQL Injection арасындағы айырмашылық мынада: XSS веб-сайтқа зиянды кодты енгізеді, осылайша код сол веб-сайттың пайдаланушыларында браузер арқылы орындалады, ал SQL инъекциясы веб-пішіннің енгізу жолағына SQL кодын қосады. ресурстарға қол жеткізу немесе деректерге өзгертулер енгізу.
