Perbezaan Antara Suntikan XSS dan SQL

The perbezaan utama antara XSS dan SQL Injection adalah bahawa XSS (atau Cross Site Scripting) adalah jenis kelemahan keselamatan komputer yang menyuntik kod jahat ke laman web supaya kod tersebut berjalan di pengguna laman web tersebut oleh penyemak imbas sementara suntikan SQL adalah satu lagi mekanisme penggodam laman web yang menambahkan kod SQL ke kotak input borang web untuk mendapatkan akses kepada sumber atau membuat perubahan kepada data.

Setiap organisasi mengekalkan laman web, yang membantu meningkatkan perniagaan dan keuntungan. Aplikasi web mengandungi sisi pelanggan dan sisi pelayan. Pihak klien termasuk antara muka pengguna untuk berinteraksi dengan aplikasi. Sisi pelayan termasuk pangkalan data. Biasanya, terdapat ancaman yang menjejaskan fungsi aplikasi yang betul. Dua daripada mereka adalah suntikan XSS dan SQL.

KANDUNGAN

1. Gambaran Keseluruhan dan Perbezaan Utama
2. Apakah XSS
3. Apakah Suntikan SQL?
4. Side by Side Perbandingan - XSS vs SQL Suntikan dalam Borang Tabular
5. Ringkasan

Apakah itu XSS??

XSS bermaksud Cross Site Scripting, dan ia adalah salah satu serangan laman web yang paling biasa. Ia boleh menjejaskan laman web tertentu dan pengguna laman web tersebut. Bahasa yang paling biasa untuk menulis kod jahat untuk serangan XSS adalah JavaScript. XSS boleh mencuri kuki pengguna, menukar tetapan pengguna, memaparkan pelbagai muat turun malware dan banyak lagi.

Rajah 01: XSS

Terdapat dua jenis XSS. Mereka adalah XSS yang berterusan dan tidak berterusan. In XSS berterusan, kod berniat jahat disimpan ke pelayan dalam pangkalan data. Kemudian ia akan berjalan pada halaman biasa. In XSS tidak berterusan, kod berniat jahat yang disuntik akan dihantar ke Server melalui permintaan HTTP. Biasanya, serangan ini boleh berlaku dalam medan carian.

Apakah Suntikan SQL??

Suntikan SQL adalah mekanisme penggodam laman web yang lain. Ia meletakkan kod jahat dalam pernyataan SQL melalui input halaman web. Sebuah laman web mengandungi borang untuk mengumpulkan input pengguna. Apabila meminta pengguna untuk input seperti nama pengguna, pengguna boleh memberikan pernyataan SQL dan bukan nama dan ia. Jadi, ia boleh berjalan di pangkalan data laman web.

Rajah 02: Suntikan SQL

Selain itu, beberapa contoh Suntikan SQL adalah seperti berikut;

Terdapat keadaan untuk mencari pengguna melalui userid. Sekiranya tiada kaedah pengesahan input, pengguna boleh memasukkan input yang salah. Sekiranya dia memasuki userid sebagai 100 OR 1 = 1, ia akan menghasilkan pernyataan SQL seperti berikut.

pilih * dari pengguna di mana userid = 100 atau 1 = 1;

Kenyataan SQL ini boleh mengembalikan semua pengguna dalam pangkalan data kerana 1 = 1 selalu benar. Jika ini penggodam dan jika pangkalan data mengandungi data rahsia seperti kata laluan, maka dia boleh mendapatkan akses kepada nama pengguna dan kata laluan. Itulah contoh untuk Suntikan SQL.

Apakah Perbezaan Antara Suntikan XSS dan SQL?

XSS adalah sejenis kelemahan keselamatan komputer dalam aplikasi web yang membolehkan penyerang menyuntik skrip sisi klien ke laman web yang dilihat oleh pengguna lain. Suntikan SQL adalah teknik suntikan kod, yang menyerang aplikasi yang didorong data yang memasukkan pernyataan SQL ke dalam entri yang difailkan untuk pelaksanaan.

XSS menyuntik kod berniat jahat ke laman web, supaya kod tersebut berjalan pada pengguna laman web tersebut oleh penyemak imbas. Sebaliknya, suntikan SQL menambah kod SQL ke kotak input borang web untuk mendapatkan akses kepada sumber atau membuat perubahan pada data. Ini adalah perbezaan utama antara XSS dan SQL Suntikan. Bahasa yang paling biasa untuk XSS adalah JavaScript manakala suntikan SQL menggunakan SQL.

Ringkasan - Suntikan XSS vs SQL

Perbezaan antara XSS dan SQL Injection adalah bahawa XSS menyuntik kod berniat jahat ke laman web, supaya kod tersebut dilaksanakan di pengguna laman web tersebut oleh penyemak imbas sementara suntikan SQL menambah kod SQL ke kotak input borang web untuk mendapatkan akses kepada sumber atau untuk membuat perubahan kepada data.

Rujukan:

1. "Apa Suntikan SQL? - Definisi dari WhatIs.com. " SearchSoftwareQuality, TechTarget. Terdapat di sini 
2. "Suntikan SQL." Tutorial Web W3Schools Online. Terdapat di sini 
3. "Apakah Scripting Cross-Site (XSS)? - Definisi dari WhatIs.com. " SearchSecurity, TechTarget. Terdapat di sini  

Image Courtesy:

1. '26327769571 'oleh Christiaan Colen (CC BY-SA 2.0) melalui Flickr
2. 'S'SQL injeksi'By Batka savemazaalai - Kerja sendiri, (CC BY-SA 4.0) melalui Wikimedia Commons