ძირითადი განსხვავება XSS-სა და SQL Injection-ს შორის არის ის, რომ XSS (ან Cross Site Scripting) არის კომპიუტერის უსაფრთხოების დაუცველობის ტიპი, რომელიც ავრცელებს მავნე კოდს ვებსაიტზე ისე, რომ კოდი გადის ამ ვებსაიტის მომხმარებლებში. ბრაუზერი, ხოლო SQL ინექცია არის ვებსაიტის გატეხვის კიდევ ერთი მექანიზმი, რომელიც ამატებს SQL კოდს ვებ ფორმის შეყვანის ველში რესურსებზე წვდომის მოსაპოვებლად ან მონაცემებში ცვლილებების შესატანად.
ყველა ორგანიზაცია ინახავს ვებგვერდებს, რომლებიც ხელს უწყობს ბიზნესის გაუმჯობესებას და მომგებიანობას. ვებ აპლიკაცია შეიცავს კლიენტის მხარეს და სერვერის მხარეს. კლიენტის მხარე მოიცავს მომხმარებლის ინტერფეისებს აპლიკაციასთან ურთიერთობისთვის.სერვერის მხარე მოიცავს მონაცემთა ბაზას. ჩვეულებრივ, არსებობს საფრთხეები, რომლებიც გავლენას ახდენენ აპლიკაციის გამართულ ფუნქციონირებაზე. ორი მათგანია XSS და SQL ინექცია.
რა არის XSS?
XSS ნიშნავს Cross Site Scripting-ს და ეს არის ვებსაიტების ერთ-ერთი ყველაზე გავრცელებული შეტევა. მას შეუძლია გავლენა მოახდინოს კონკრეტულ ვებსაიტზე, ისევე როგორც ამ ვებსაიტის მომხმარებლებს. ყველაზე გავრცელებული ენა XSS შეტევისთვის მავნე კოდის დასაწერად არის JavaScript. XSS-ს შეუძლია მოიპაროს მომხმარებლის ქუქი-ფაილები, შეცვალოს მომხმარებლის პარამეტრები, აჩვენოს სხვადასხვა მავნე პროგრამების ჩამოტვირთვა და მრავალი სხვა.
სურათი 01: XSS
არსებობს XSS-ის ორი ტიპი. ისინი არიან მუდმივი და არასტაბილური XSS. მუდმივ XSS-ში, მავნე კოდი ინახავს სერვერს მონაცემთა ბაზაში. შემდეგ ის ნორმალურ გვერდზე იმუშავებს. არა მუდმივ XSS-ში, შეყვანილი მავნე კოდი გადაეგზავნება სერვერს HTTP მოთხოვნის მეშვეობით.ჩვეულებრივ, ეს თავდასხმები შეიძლება მოხდეს საძიებო ველებში.
რა არის SQL ინექცია?
SQL Injection არის ვებსაიტის გატეხვის კიდევ ერთი მექანიზმი. ის ათავსებს მავნე კოდს SQL განცხადებებში ვებ გვერდის შეყვანის საშუალებით. ვებსაიტი შეიცავს ფორმებს მომხმარებლის მონაცემების შესაგროვებლად. როდესაც მომხმარებელს სთხოვს შეყვანას, როგორიცაა მომხმარებლის სახელი, userid, მან შეიძლება მოგვაწოდოს SQL განცხადება სახელისა და მისი ნაცვლად. ასე რომ, ის შეიძლება იმუშაოს ვებსაიტის მონაცემთა ბაზაში.
სურათი 02: SQL ინექცია
გარდა ამისა, SQL ინექციების რამდენიმე მაგალითია შემდეგი;
შეიძლება იყოს სიტუაცია მომხმარებლის მოძიება მომხმარებლის ID-ის მეშვეობით. თუ არ არსებობს შეყვანის ვალიდაციის მეთოდი, მომხმარებელს შეუძლია შეიყვანოს არასწორი შეყვანა. თუ ის შეიყვანს მომხმარებლის იდს როგორც 100 ან 1=1, ის წარმოქმნის SQL განცხადებას შემდეგნაირად.
აირჩიეთმომხმარებლებისგან, სადაც userid=100 ან 1=1;
ამ SQL განცხადებას შეუძლია მონაცემთა ბაზაში არსებული ყველა მომხმარებლის დაბრუნება, რადგან 1=1 ყოველთვის მართალია. თუ ეს იყო ჰაკერი და თუ მონაცემთა ბაზა შეიცავდა კონფიდენციალურ მონაცემებს, როგორიცაა პაროლები, მაშინ მას შეუძლია მიიღოს წვდომა მომხმარებლის სახელებსა და პაროლებზე. ეს არის მაგალითი SQL Injection-ისთვის.
რა განსხვავებაა XSS და SQL ინექციას შორის?
XSS არის კომპიუტერული უსაფრთხოების დაუცველობის ტიპი ვებ აპლიკაციებში, რომელიც საშუალებას აძლევს თავდამსხმელებს შეიყვანონ კლიენტის მხარის სკრიპტები სხვა მომხმარებლების მიერ ნანახ ვებგვერდებში. SQL ინექცია არის კოდის ინექციის ტექნიკა, რომელიც თავს დაესხმება მონაცემებზე დაფუძნებულ აპლიკაციებს, რომლებიც ათავსებენ SQL განცხადებებს შესასრულებლად შეტანილ ჩანაწერში.
XSS ავრცელებს მავნე კოდს ვებსაიტზე, ასე რომ კოდი გადის ამ ვებსაიტის მომხმარებლებს ბრაუზერის მიერ. მეორეს მხრივ, SQL ინექცია ამატებს SQL კოდს ვებ ფორმის შეყვანის ველში რესურსებზე წვდომის მოსაპოვებლად ან მონაცემებში ცვლილებების შესატანად.ეს არის მთავარი განსხვავება XSS და SQL Injection-ს შორის. XSS-ისთვის ყველაზე გავრცელებული ენაა JavaScript, ხოლო SQL ინექცია იყენებს SQL.
რეზიუმე – XSS vs SQL ინექცია
სხვაობა XSS-სა და SQL Injection-ს შორის არის ის, რომ XSS შეაქვს მავნე კოდს ვებსაიტზე, ასე რომ, კოდი შესრულდება ამ ვებსაიტის მომხმარებლებს ბრაუზერის მიერ, ხოლო SQL ინექცია ამატებს SQL კოდს ვებ ფორმის შეყვანის ველში. მოიპოვეთ წვდომა რესურსებზე ან შეიტანეთ ცვლილებები მონაცემებში.
