Perbezaan utama antara XSS dan SQL Injection ialah XSS (atau Cross Site Scripting) ialah sejenis kerentanan keselamatan komputer yang menyuntik kod hasad ke tapak web supaya kod tersebut berjalan dalam pengguna tapak web tersebut oleh pelayar manakala suntikan SQL ialah satu lagi mekanisme penggodaman tapak web yang menambahkan kod SQL pada kotak input borang web untuk mendapatkan akses kepada sumber atau membuat perubahan pada data.
Setiap organisasi mengekalkan tapak web, yang membantu meningkatkan perniagaan dan keuntungan. Aplikasi web mengandungi bahagian klien dan bahagian pelayan. Bahagian pelanggan termasuk antara muka pengguna untuk berinteraksi dengan aplikasi. Bahagian pelayan termasuk pangkalan data. Biasanya, terdapat ancaman yang menjejaskan fungsi aplikasi yang betul. Dua daripadanya ialah suntikan XSS dan SQL.
Apakah itu XSS?
XSS ialah singkatan kepada Cross Site Scripting, dan ia merupakan salah satu serangan tapak web yang paling biasa. Ia boleh menjejaskan tapak web tersebut serta pengguna tapak web tersebut. Bahasa yang paling biasa untuk menulis kod berniat jahat untuk serangan XSS ialah JavaScript. XSS boleh mencuri kuki pengguna, menukar tetapan pengguna, memaparkan pelbagai muat turun perisian hasad dan banyak lagi.
Rajah 01: XSS
Terdapat dua jenis XSS. Mereka adalah XSS yang berterusan dan tidak berterusan. Dalam XSS berterusan, kod berniat jahat disimpan ke pelayan dalam pangkalan data. Kemudian ia akan berjalan pada halaman biasa. Dalam XSS yang tidak berterusan, kod hasad yang disuntik akan dihantar ke Pelayan melalui permintaan HTTP. Biasanya, serangan ini boleh berlaku dalam medan carian.
Apakah itu SQL Injection?
SQL Injection ialah satu lagi mekanisme penggodaman tapak web. Ia meletakkan kod berniat jahat dalam pernyataan SQL melalui input halaman web. Laman web mengandungi borang untuk mengumpul input pengguna. Apabila meminta pengguna untuk input seperti nama pengguna, id pengguna dia mungkin memberikan pernyataan SQL dan bukannya nama dan ia. Jadi, ia boleh dijalankan pada pangkalan data tapak web.
Rajah 02: SQL Injection
Selain itu, beberapa contoh SQL Injections adalah seperti berikut;
Mungkin terdapat situasi untuk mencari pengguna melalui id pengguna. Jika tiada kaedah pengesahan input, pengguna boleh memasukkan input yang salah. Jika dia memasukkan id pengguna sebagai 100 ATAU 1=1, ia akan menghasilkan pernyataan SQL seperti berikut.
pilihdaripada pengguna di mana userid=100 atau 1=1;
Pernyataan SQL ini boleh mengembalikan semua pengguna dalam pangkalan data kerana 1=1 sentiasa benar. Jika ini adalah penggodam dan jika pangkalan data mengandungi data sulit seperti kata laluan, maka dia boleh mendapat akses kepada nama pengguna dan kata laluan. Itu adalah contoh untuk SQL Injection.
Apakah Perbezaan Antara XSS dan SQL Injection?
XSS ialah sejenis kerentanan keselamatan komputer dalam aplikasi web yang membolehkan penyerang menyuntik skrip sisi klien ke dalam halaman web yang dilihat oleh pengguna lain. Suntikan SQL ialah teknik suntikan kod, yang menyerang aplikasi dipacu data yang memasukkan pernyataan SQL ke dalam entri yang difailkan untuk pelaksanaan.
XSS menyuntik kod hasad ke tapak web, supaya kod berjalan dalam pengguna tapak web tersebut oleh penyemak imbas. Sebaliknya, suntikan SQL menambah kod SQL pada kotak input borang web untuk mendapatkan akses kepada sumber atau membuat perubahan pada data. Ini adalah perbezaan utama antara XSS dan SQL Injection. Bahasa yang paling biasa untuk XSS ialah JavaScript manakala suntikan SQL menggunakan SQL.
Ringkasan – XSS lwn SQL Injection
Perbezaan antara XSS dan SQL Injection ialah XSS menyuntik kod hasad ke tapak web, supaya kod dilaksanakan dalam pengguna tapak web tersebut oleh penyemak imbas manakala suntikan SQL menambah kod SQL pada kotak input borang web untuk dapatkan akses kepada sumber atau untuk membuat perubahan pada data.
