Le différence clé entre l'injection XSS et SQL est que le XSS (ou Scripting Cross Site) est un type de vulnérabilité de sécurité informatique qui injecte du code malveillant au site Web afin que le code s'exécute dans les utilisateurs de ce site Web par le navigateur tandis que l'injection SQL est un autre mécanisme de piratage de site Web qui ajoute du code SQL à un Boîte de saisie du formulaire Web pour accéder aux ressources ou pour apporter des modifications aux données.
Chaque organisation maintient des sites Web, qui contribuent à améliorer l'entreprise et la rentabilité. Une application Web contient le côté client et le côté serveur. Le côté client comprend les interfaces utilisateur pour interagir avec l'application. Le côté serveur comprend la base de données. Habituellement, il existe des menaces qui affectent le bon fonctionnement de l'application. Deux d'entre eux sont des injections XSS et SQL.
1. Aperçu et différence clé
2. Qu'est-ce que XSS
3. Qu'est-ce que l'injection SQL
4. Comparaison côte à côte - Injection XSS vs SQL sous forme tabulaire
5. Résumé
XSS signifie Cross Site Scripting, et c'est l'une des attaques de site Web les plus courantes. Il peut affecter ce site Web particulier ainsi que les utilisateurs de ce site Web. Le langage le plus courant pour écrire du code malveillant pour l'attaque XSS est le javascript. XSS peut voler les cookies de l'utilisateur, modifier les paramètres de l'utilisateur, afficher divers téléchargements de logiciels malveillants et bien d'autres.
Figure 01: XSS
Il existe deux types de XS. Ce sont les XS persistants et non persistants. Dans XSS persistants, Le code malveillant enregistre sur le serveur dans la base de données. Ensuite, il fonctionnera sur la page normale. Dans XSS non persistants, Le code malveillant injecté sera envoyé au serveur via une demande HTTP. Habituellement, ces attaques peuvent se produire dans les champs de recherche.
L'injection SQL est un autre mécanisme de piratage de site Web. Il place un code malveillant dans les instructions SQL via la saisie de la page Web. Un site Web contient des formulaires pour collecter les entrées des utilisateurs. Lorsque vous demandez à l'utilisateur des entrées telles que le nom d'utilisateur, il pourrait fournir une instruction SQL au lieu du nom et. Ainsi, il peut fonctionner dans la base de données du site Web.
Figure 02: Injection SQL
De plus, peu d'exemples d'injections SQL sont les suivantes;
Il peut y avoir une situation pour rechercher un utilisateur via l'utilisateur. S'il n'y a pas de méthode de validation d'entrée, l'utilisateur peut saisir une mauvaise entrée. S'il entre dans l'utilisateur de 100 ou 1 = 1, il générera une instruction SQL comme suit.
Sélectionnez * dans les utilisateurs où userId = 100 ou 1 = 1;
Cette instruction SQL peut renvoyer tous les utilisateurs de la base de données car 1 = 1 est toujours vrai. S'il s'agissait d'un pirate et si la base de données contenait des données confidentielles telles que des mots de passe, il peut avoir accès aux noms d'utilisateur et aux mots de passe. C'est un exemple pour l'injection SQL.
XSS est un type de vulnérabilité de sécurité informatique dans les applications Web qui permet aux attaquants d'injecter des scripts côté client dans les pages Web visualisées par d'autres utilisateurs. L'injection SQL est une technique d'injection de code, qui attaque les applications basées sur les données qui insérent des instructions SQL dans une entrée déposée pour exécution.
XSS injecte du code malveillant sur le site Web, de sorte que le code s'exécute dans les utilisateurs de ce site Web par le navigateur. D'un autre côté, l'injection SQL ajoute du code SQL à une boîte d'entrée de formulaire Web pour accéder aux ressources ou pour apporter des modifications aux données. C'est la principale différence entre l'injection XSS et SQL. Le langage le plus commun pour XSS est JavaScript tandis que l'injection SQL utilise SQL.
La différence entre l'injection XSS et SQL est que le XSS injecte du code malveillant sur le site Web, de sorte que le code exécute les utilisateurs de ce site Web par le navigateur tandis que l'injection SQL ajoute du code SQL à une boîte d'entrée de formulaire Web pour accéder aux ressources ou Pour apporter des modifications aux données.
1.«Qu'est-ce que l'injection SQL? - Définition de ce qui.com.”SearchSoftwarequality, TechTarget. Disponible ici
2.«Injection SQL.”Tutoriels Web en ligne W3Schools. Disponible ici
3. «Qu'est-ce que les scripts croisés (XSS)? - Définition de ce qui.com.”SearchSecurity, TechTarget. Disponible ici
1.'26327769571' par Christiaan Colen (CC BY-SA 2.0) via Flickr
2.'Sql injection' par batka savemazaalai - propre travail, (cc by-sa 4.0) via Commons Wikimedia