XSS менен SQL Injection ортосундагы негизги айырма XSS (же Cross Site Scripting) бул веб-сайтка зыяндуу кодду киргизген компьютердик коопсуздуктун бир түрү болуп саналат, андыктан код ошол веб-сайттын колдонуучуларында иштейт. браузер, ал эми SQL инъекциясы ресурстарга жетүү же маалыматтарга өзгөртүү киргизүү үчүн веб форманын киргизүү кутучасына SQL кодун кошо турган дагы бир веб-сайтты хакерлик механизми болуп саналат.
Ар бир уюм бизнести жана рентабелдүүлүктү жакшыртууга жардам берген веб-сайттарды жүргүзөт. Веб тиркеме кардар жана сервер тарабын камтыйт. Кардар тарап колдонмо менен өз ара аракеттенүү үчүн колдонуучу интерфейстерин камтыйт. Сервер тарап маалымат базасын камтыйт. Адатта, колдонмонун туура иштешине таасир этүүчү коркунучтар бар. Алардын экөө XSS жана SQL инъекциясы.
XSS деген эмне?
XSS Cross Site Scripting дегенди билдирет жана бул эң кеңири таралган вебсайт чабуулдарынын бири. Бул ошол веб-сайтка, ошондой эле ошол веб-сайттын колдонуучуларына таасир этиши мүмкүн. XSS чабуулу үчүн зыяндуу кодду жазуу үчүн эң кеңири таралган тил JavaScript болуп саналат. XSS колдонуучунун кукилерин уурдай алат, колдонуучунун жөндөөлөрүн өзгөртө алат, ар кандай кесепеттүү программаларды жүктөөлөрдү жана башка көптөгөн нерселерди көрсөтө алат.
01-сүрөт: XSS
XSSтин эки түрү бар. Алар туруктуу жана туруктуу эмес XSS. Туруктуу XSSде зыяндуу код маалымат базасындагы серверге сакталат. Андан кийин ал кадимки баракта иштейт. Туруктуу эмес XSSде, сайылган зыяндуу код серверге HTTP сурамы аркылуу жөнөтүлөт. Адатта, бул чабуулдар издөө талааларында болушу мүмкүн.
SQL Injection деген эмне?
SQL Injection дагы бир веб-сайтты хакерлик кылуу механизми. Бул веб-баракча киргизүү аркылуу SQL билдирүүлөрүндө зыяндуу кодду жайгаштырат. Веб-сайтта колдонуучунун маалыматын чогултуу үчүн формалар бар. Колдонуучудан колдонуучу аты сыяктуу киргизүүнү сураганда, ал ысымдын жана анын ордуна SQL билдирүүсүн бериши мүмкүн. Ошентип, ал вебсайттын маалымат базасында иштей алат.
02-сүрөт: SQL инъекциясы
Андан тышкары, SQL инъекцияларынын бир нече мисалдары төмөнкүдөй;
Колдонуучуну колдонуучу id аркылуу издөө үчүн кырдаал болушу мүмкүн. Киргизүүнү текшерүү ыкмасы жок болсо, колдонуучу туура эмес киргизүүнү киргизиши мүмкүн. Эгер ал колдонуучу идентификаторуна 100 ЖЕ 1=1 деп кирсе, ал төмөнкүдөй SQL билдирүүсүн жаратат.
userid=100 же 1=1 болгон колдонуучулардантанда;
Бул SQL билдирүүсү базадагы бардык колдонуучуларды кайтара алат, анткени 1=1 ар дайым чындык. Эгер бул хакер болсо жана маалымат базасында сырсөздөр сыяктуу купуя маалыматтар болсо, анда ал колдонуучу аттары менен сырсөздөрүнө кире алат. Бул SQL Injection үлгүсү.
XSS менен SQL инжекциясынын ортосунда кандай айырма бар?
XSS – чабуулчуларга башка колдонуучулар көргөн веб-баракчаларга кардар тарабындагы скрипттерди киргизүү мүмкүнчүлүгүн берген веб-тиркемелердеги компьютердик коопсуздуктун бир түрү. SQL инъекциясы – бул кодду киргизүү ыкмасы, ал маалыматка негизделген колдонмолорго чабуул коюучу, SQL билдирүүлөрүн аткаруу үчүн берилген жазууга киргизет.
XSS веб-сайтка зыяндуу кодду киргизет, ошондуктан код ошол веб-сайттын колдонуучуларында браузер аркылуу иштейт. Башка жагынан алганда, SQL инъекциясы ресурстарга жетүү же маалыматтарга өзгөртүүлөрдү киргизүү үчүн веб форманын киргизүү кутусуна SQL кодун кошот. Бул XSS жана SQL Injection ортосундагы негизги айырма. XSS үчүн эң кеңири таралган тил JavaScript, ал эми SQL инъекциясында SQL колдонулат.
Кыскача – XSS жана SQL Injection
XSS менен SQL Injection ортосундагы айырма XSS зыяндуу кодду веб-сайтка киргизет, ошондуктан код ошол веб-сайттын колдонуучуларында браузер тарабынан аткарылат, ал эми SQL инъекциясы веб форманын киргизүү кутучасына SQL кодун кошот. ресурстарга же дайындарга өзгөртүүлөрдү киргизүүгө мүмкүнчүлүк алыңыз.