XSS va SQL Injection oʻrtasidagi asosiy farq shundaki, XSS (yoki Cross Site Scripting) kompyuter xavfsizligi zaifligining bir turi boʻlib, u veb-saytga zararli kodni kiritadi, shunda kod ushbu veb-sayt foydalanuvchilarida ishlaydi. SQL injection veb-saytni buzishning yana bir mexanizmi bo'lib, resurslarga kirish yoki ma'lumotlarga o'zgartirish kiritish uchun veb-shakl kiritish maydoniga SQL kodini qo'shadi.
Har bir tashkilot biznes va rentabellikni yaxshilashga yordam beradigan veb-saytlarga ega. Veb-ilova mijoz tomoni va server tomonini o'z ichiga oladi. Mijoz tomoni dastur bilan ishlash uchun foydalanuvchi interfeyslarini o'z ichiga oladi. Server tomoni ma'lumotlar bazasini o'z ichiga oladi. Odatda, dasturning to'g'ri ishlashiga ta'sir qiladigan tahdidlar mavjud. Ulardan ikkitasi XSS va SQL in'ektsiyasi.
XSS nima?
XSS - Cross Site Scripting degan ma'noni anglatadi va u eng keng tarqalgan veb-sayt hujumlaridan biridir. Bu ma'lum bir veb-saytga, shuningdek, ushbu veb-sayt foydalanuvchilariga ta'sir qilishi mumkin. XSS hujumi uchun zararli kod yozish uchun eng keng tarqalgan til JavaScript hisoblanadi. XSS foydalanuvchining cookie-fayllarini oʻgʻirlashi, foydalanuvchi sozlamalarini oʻzgartirishi, turli zararli dasturlarni yuklab olish va boshqa koʻp narsalarni koʻrsatishi mumkin.
01-rasm: XSS
XSSning ikki turi mavjud. Ular doimiy va doimiy bo'lmagan XSS. Doimiy XSSda zararli kod ma'lumotlar bazasidagi serverga saqlanadi. Keyin u oddiy sahifada ishlaydi. Doimiy bo'lmagan XSSda kiritilgan zararli kod HTTP so'rovi orqali Serverga yuboriladi. Odatda, bu hujumlar qidiruv maydonlarida sodir bo'lishi mumkin.
SQL Injection nima?
SQL Injection veb-saytlarni buzishning yana bir mexanizmi. Veb-sahifani kiritish orqali SQL bayonotlarida zararli kodni joylashtiradi. Veb-sayt foydalanuvchi ma'lumotlarini to'plash uchun shakllarni o'z ichiga oladi. Foydalanuvchidan foydalanuvchi nomi, foydalanuvchi nomi kabi ma'lumotlarni so'raganda, u ism va uning o'rniga SQL bayonotini berishi mumkin. Shunday qilib, u veb-sayt ma'lumotlar bazasida ishlashi mumkin.
02-rasm: SQL in'ektsiyasi
Bundan tashqari, SQL in'ektsiyalarining bir nechta misollari quyidagicha;
Foydalanuvchini foydalanuvchi identifikatori orqali qidirish uchun vaziyat boʻlishi mumkin. Agar kirishni tekshirish usuli bo'lmasa, foydalanuvchi noto'g'ri kiritishni kiritishi mumkin. Agar u foydalanuvchi identifikatorini 100 YOKI 1=1 deb kiritsa, u SQL bayonotini quyidagicha yaratadi.
userid=100 yoki 1=1 boʻlgan foydalanuvchilar orasidanni tanlang;
Bu SQL bayonoti ma'lumotlar bazasidagi barcha foydalanuvchilarni qaytarishi mumkin, chunki 1=1 har doim to'g'ri. Agar bu xaker bo'lsa va ma'lumotlar bazasida parollar kabi maxfiy ma'lumotlar bo'lsa, u foydalanuvchi nomlari va parollariga kirishi mumkin. Bu SQL Injection uchun misol.
XSS va SQL injection oʻrtasidagi farq nima?
XSS bu veb-ilovalardagi kompyuter xavfsizligi zaifligining bir turi boʻlib, tajovuzkorlarga mijoz tomonidagi skriptlarni boshqa foydalanuvchilar tomonidan koʻriladigan veb-sahifalarga kiritish imkonini beradi. SQL injection - bu kod kiritish usuli bo'lib, u ma'lumotlarga asoslangan ilovalarga hujum qiladi va SQL iboralarini bajarish uchun berilgan yozuvga kiritadi.
XSS veb-saytga zararli kodni kiritadi, shunda kod brauzer orqali ushbu veb-sayt foydalanuvchilarida ishlaydi. Boshqa tomondan, SQL in'ektsiyasi resurslarga kirish yoki ma'lumotlarga o'zgartirish kiritish uchun veb-shakl kiritish maydoniga SQL kodini qo'shadi. Bu XSS va SQL Injection o'rtasidagi asosiy farq. XSS uchun eng keng tarqalgan til JavaScript, SQL in'ektsiyasi esa SQLdan foydalanadi.
Xulosa – XSS va SQL Injection
XSS va SQL Injection o'rtasidagi farq shundaki, XSS veb-saytga zararli kodni kiritadi, shuning uchun kod brauzer tomonidan ushbu veb-sayt foydalanuvchilarida ishlaydi, SQL in'ektsiyasi esa veb-shakl kiritish oynasiga SQL kodini qo'shadi. resurslarga kirish yoki maʼlumotlarga oʻzgartirish kiritish.
