XSS ve SQL Enjeksiyonu Arasındaki Fark

temel fark XSS ve SQL Injection arasında XSS (veya Siteler Arası Komut Dosyası), web sitesine kötü amaçlı kod enjekte eden bir tür bilgisayar güvenlik açığıdır; kaynaklara erişmek veya verilerde değişiklik yapmak için web formu giriş kutusu.

Her kuruluş, işletmeyi ve kârlılığı geliştirmeye yardımcı olan web sitelerine sahiptir. Bir web uygulaması, istemci tarafını ve sunucu tarafını içerir. İstemci tarafı, uygulama ile etkileşime geçmek için kullanıcı arabirimlerini içerir. Sunucu tarafı veritabanını içerir. Genellikle, uygulamanın düzgün çalışmasını etkileyen tehditler vardır. Bunlardan ikisi XSS ve SQL enjeksiyonudur.

İÇİNDEKİLER

1. Genel Bakış ve Temel Fark
2. XSS nedir
3. SQL Enjeksiyonu Nedir
4. Yan Yana Karşılaştırma - Tablo Şeklinde XSS ve SQL Enjeksiyonu
5. Özeti

XSS nedir?

XSS, Siteler Arası Komut Dosyası anlamına gelir ve en yaygın web sitesi saldırılarından biridir. Söz konusu web sitesini ve o web sitesinin kullanıcılarını etkileyebilir. XSS saldırısı için kötü amaçlı kod yazmak için en yaygın dil JavaScript'tir. XSS, kullanıcının çerezlerini çalabilir, kullanıcı ayarını değiştirebilir, çeşitli kötü amaçlı yazılım indirmeleri gösterebilir ve daha pek çok şey yapabilir.

Şekil 01: XSS

İki tür XSS vardır. Bunlar kalıcı ve kalıcı olmayan XSS'dir. İçinde kalıcı XSS, kötü amaçlı kod veritabanındaki sunucuya kaydedilir. Sonra normal sayfada çalışacaktır. İçinde kalıcı olmayan XSS, enjekte edilen kötü amaçlı kod bir HTTP isteği yoluyla Sunucuya gönderilir. Genellikle, bu saldırılar arama alanlarında ortaya çıkabilir.

SQL Enjeksiyonu Nedir?

SQL Injection başka bir web sitesi hack mekanizmasıdır. Web sayfası girişi yoluyla SQL deyimlerine kötü amaçlı bir kod yerleştirir. Bir web sitesi, kullanıcı girdilerini toplamak için formlar içerir. Kullanıcıdan kullanıcı adı, kullanıcı adı gibi bir girdi isterken, isim ve SQL yerine bir SQL deyimi sağlayabilir. Yani, web sitesi veritabanında çalışabilir.

Şekil 02: SQL Enjeksiyonu

Ayrıca, SQL Enjeksiyonlarının birkaç örneği aşağıdaki gibidir;

Kullanıcı kimliği üzerinden bir kullanıcı araması için bir durum olabilir. Giriş doğrulama yöntemi yoksa, kullanıcı yanlış bir giriş girebilir. Kullanıcı kimliğini 100 VEYA 1 = 1 olarak girerse, aşağıdaki gibi bir SQL ifadesi oluşturur.

userid = 100 veya 1 = 1 olan kullanıcılardan * seçin;

1 = 1 her zaman doğru olduğundan, bu SQL deyimi veritabanındaki tüm kullanıcıları döndürebilir. Bu bir bilgisayar korsanıysa ve veritabanı parolalar gibi gizli veriler içeriyorsa, kullanıcı adlarına ve parolalara erişebilir. Bu SQL Enjeksiyonu için bir örnektir.

XSS ve SQL Enjeksiyonu Arasındaki Fark Nedir??

XSS, web uygulamalarında, saldırganların istemci tarafı komut dosyalarını diğer kullanıcılar tarafından görüntülenen web sayfalarına enjekte etmesini sağlayan bir tür bilgisayar güvenlik açığıdır. SQL enjeksiyonu, SQL deyimlerini yürütme için bir girişe ekleyen veri odaklı uygulamalara saldıran bir kod enjeksiyon tekniğidir.

XSS web sitesine kötü amaçlı kod ekler, böylece kod bu web sitesinin kullanıcılarında tarayıcı tarafından çalıştırılır. Öte yandan SQL enjeksiyonu, kaynaklara erişmek veya verilerde değişiklik yapmak için bir web formu giriş kutusuna SQL kodu ekler. Bu, XSS ve SQL Enjeksiyonu arasındaki temel farktır. SQL enjeksiyonu SQL kullanırken XSS için en yaygın dil JavaScript'tir..

Özet - XSS vs SQL Enjeksiyonu

XSS ve SQL Enjeksiyonu arasındaki fark, XSS'nin web sitesine kötü amaçlı kod enjekte etmesidir, böylece kod, web sitesine kullanıcılarda tarayıcı tarafından tarayıcı tarafından yürütülürken, SQL enjeksiyonu kaynaklara erişmek için bir web formu giriş kutusuna SQL kodu ekler veya verilerde değişiklik yapmak.

Referans:

1. “SQL Enjeksiyonu Nedir? - WhatIs.com'un tanımı. ” AramaYazılımKalite, TechTarget. Burada mevcut 
2. “SQL Ekleme.” W3Schools Çevrimiçi Web Öğreticileri. Burada mevcut 
3. “Siteler Arası Komut Dosyası (XSS) Nedir? - WhatIs.com'un tanımı. ” SearchSecurity, TechTarget. Burada mevcut  

Görünüm inceliği:

1.'26327769571 'Christiaan Colen (CC BY-SA 2.0) Flickr aracılığıyla
2.'SQL enjeksiyonu - Batka savemazaalai tarafından - Commons Wikimedia üzerinden kendi çalışması, (CC BY-SA 4.0)