Verschil tussen XSS en SQL-injectie
Share
De belangrijk verschil tussen XSS en SQL Injection is dat het XSS (of Cross Site Scripting) is een type kwetsbaarheid voor computerbeveiliging die schadelijke code in de website injecteert, zodat de code door de browser in de gebruikers van die website wordt uitgevoerd, terwijl de SQL-injectie een ander mechanisme is voor het hacken van websites dat SQL-code aan een webformulierinvoervak om toegang te krijgen tot bronnen of om gegevens aan te passen.
Elke organisatie onderhoudt websites die helpen om het bedrijf en de winstgevendheid te verbeteren. Een webtoepassing bevat de client- en serverzijde. De clientzijde bevat de gebruikersinterfaces om met de toepassing te communiceren. De serverzijde bevat de database. Meestal zijn er bedreigingen die de goede werking van de applicatie beïnvloeden. Twee daarvan zijn XSS en SQL-injectie.
INHOUD
1. Overzicht en belangrijkste verschil
2. Wat is XSS
3. Wat is SQL-injectie
4. Vergelijking zij aan zij - XSS versus SQL-injectie in tabelvorm
5. Samenvatting
Wat is XSS?
XSS staat voor Cross Site Scripting en het is een van de meest voorkomende website-aanvallen. Het kan van invloed zijn op die specifieke website en op gebruikers van die website. De meest gebruikelijke taal om kwaadwillende code voor XSS-aanvallen te schrijven is JavaScript. XSS kan gebruikerscookies stelen, gebruikersinstellingen wijzigen, verschillende malwaredownloads weergeven en nog veel meer.
Figuur 01: XSS
Er zijn twee soorten XSS. Ze zijn de persistente en niet-persistente XSS. In persistente XSS, de schadelijke code wordt opgeslagen op de server in de database. Daarna zal het op de normale pagina worden weergegeven. In niet-persistente XSS, de geïnjecteerde kwaadaardige code wordt via een HTTP-verzoek naar de server verzonden. Meestal kunnen deze aanvallen plaatsvinden in zoekvelden.
Wat is SQL-injectie?
SQL Injection is een ander mechanisme voor het hacken van websites. Het plaatst een kwaadwillige code in SQL-instructies via de invoer van webpagina's. Een website bevat formulieren om gebruikersinvoer te verzamelen. Wanneer de gebruiker om invoer wordt gevraagd, zoals gebruikersnaam, userid, kan hij een SQL-instructie opgeven in plaats van naam en het. Het kan dus worden uitgevoerd op de websitedatabase.
Figuur 02: SQL-injectie
Verder zijn er enkele voorbeelden van SQL-injecties als volgt;
Er kan een situatie zijn om een gebruiker door de userid te zoeken. Als er geen invoervalidatiemethode is, kan de gebruiker een verkeerde invoer invoeren. Als hij het userid invoert als 100 OF 1 = 1, genereert het als volgt een SQL-instructie.
selecteer * van gebruikers waarbij userid = 100 of 1 = 1;
Deze SQL-instructie kan alle gebruikers in de database retourneren, omdat 1 = 1 altijd waar is. Als dit een hacker was en als de database vertrouwelijke gegevens bevat, zoals wachtwoorden, dan kan hij toegang krijgen tot de gebruikersnamen en wachtwoorden. Dat is een voorbeeld voor SQL Injection.
Wat is het verschil tussen XSS en SQL-injectie?
XSS is een type computerbeveiligingskwetsbaarheid in webtoepassingen waarmee aanvallers client-side scripts kunnen injecteren in webpagina's die door andere gebruikers worden bekeken. SQL-injectie is een techniek voor code-injectie, waarmee gegevensgestuurde toepassingen worden aangevallen die SQL-instructies invoegen in een item dat wordt ingediend voor uitvoering.
XSS injecteert schadelijke code op de website, zodat de code door de browser in de gebruikers van die website wordt uitgevoerd. Aan de andere kant voegt SQL-injectie SQL-code toe aan een webformulierinvoervak om toegang te krijgen tot bronnen of om gegevens aan te passen. Dit is het belangrijkste verschil tussen XSS en SQL Injection. De meest voorkomende taal voor XSS is JavaScript, terwijl SQL-injectie SQL gebruikt.
Samenvatting - XSS versus SQL-injectie
Het verschil tussen XSS en SQL Injection is dat de XSS schadelijke code in de website injecteert, zodat code door de browser in de gebruikers van die website wordt uitgevoerd, terwijl de SQL-injectie SQL-code toevoegt aan een webformulierinvoervak om toegang te krijgen tot bronnen of om gegevens aan te passen.
Referentie:
1. "Wat is SQL-injectie? - Definitie van WhatIs.com. "SearchSoftwareQuality, TechTarget. Beschikbaar Hier
2. "SQL-injectie." W3Schools Online Web Tutorials. Beschikbaar Hier
3. "Wat is Cross-Site Scripting (XSS)? - Definitie van WhatIs.com. "SearchSecurity, TechTarget. Beschikbaar Hier
Afbeelding met dank aan:
1.'26327769571 'door Christiaan Colen (CC BY-SA 2.0) via Flickr
2. 'SQL-injectie' door Batka savemazaalai - Eigen werk, (CC BY-SA 4.0) via Commons Wikimedia
