በXSS እና በSQL መርፌ መካከል ያለው ልዩነት

2024 ደራሲ ደራሲ: Alex Aldridge | [email protected]. ለመጨረሻ ጊዜ የተሻሻለው: 2023-12-17 13:31

በXSS እና በSQL Injection መካከል ያለው ቁልፍ ልዩነት XSS (ወይም ክሮስ ሳይት ስክሪፕት) የኮምፒዩተር ደህንነት ተጋላጭነት አይነት በመሆኑ ተንኮል-አዘል ኮድ ወደ ድረ-ገጹ ውስጥ በማስገባት ኮዱ በድህረ ገጹ ተጠቃሚዎች ውስጥ እንዲሰራ ማድረግ ነው። አሳሽ ሳለ SQL መርፌ የ SQL ኮድን ወደ ዌብ ቅጽ ግብዓት ሳጥን ውስጥ የሚጨምር የሃብቶች መዳረሻ ለማግኘት ወይም በውሂብ ላይ ለውጦችን የሚያደርግ ሌላ የድር ጣቢያ መጥለፍ ዘዴ ነው።

እያንዳንዱ ድርጅት ድር ጣቢያዎችን ይይዛል፣ይህም ንግዱን እና ትርፋማነቱን ለማሻሻል ይረዳል። የድር መተግበሪያ የደንበኛ ጎን እና የአገልጋይ ጎን ይይዛል። የደንበኛው ወገን ከመተግበሪያው ጋር መስተጋብር ለመፍጠር የተጠቃሚውን በይነገጾች ያካትታል።የአገልጋዩ ጎን የውሂብ ጎታውን ያካትታል. አብዛኛውን ጊዜ የመተግበሪያውን ትክክለኛ ተግባር የሚነኩ ስጋቶች አሉ። ከመካከላቸው ሁለቱ XSS እና SQL መርፌ ናቸው።

XSS ምንድን ነው?

XSS ማለት መስቀለኛ ሳይት ስክሪፕት ማለት ሲሆን ይህ በጣም ከተለመዱት የድር ጣቢያ ጥቃቶች አንዱ ነው። ያንን የተወሰነ ድር ጣቢያ እና የዚያ ድር ጣቢያ ተጠቃሚዎችን ሊነካ ይችላል። ለXSS ጥቃት ተንኮል አዘል ኮድ ለመጻፍ በጣም የተለመደው ቋንቋ ጃቫ ስክሪፕት ነው። XSS የተጠቃሚውን ኩኪዎች መስረቅ፣ የተጠቃሚ ቅንብርን መቀየር፣ የተለያዩ የማልዌር ውርዶችን ማሳየት እና ሌሎችንም ማድረግ ይችላል።

ምስል 01፡ XSS

ሁለት አይነት XSS አሉ። እነሱ ቋሚ እና ቀጣይ ያልሆኑ XSS ናቸው. በቋሚ XSS ውስጥ፣ ተንኮል አዘል ኮድ በመረጃ ቋቱ ውስጥ ባለው አገልጋይ ላይ ያስቀምጣል። ከዚያ በተለመደው ገጽ ላይ ይሰራል. ቀጣይነት በሌለው XSS ውስጥ፣ የተወጋው ተንኮል አዘል ኮድ በኤችቲቲፒ ጥያቄ በኩል ወደ አገልጋዩ ይላካል።አብዛኛውን ጊዜ እነዚህ ጥቃቶች በፍለጋ መስኮች ሊከሰቱ ይችላሉ።

SQL መርፌ ምንድን ነው?

SQL መርፌ ሌላው የድር ጣቢያ መጥለፍ ዘዴ ነው። በ SQL መግለጫዎች ውስጥ በድረ-ገጽ ግቤት ተንኮል አዘል ኮድ ያስቀምጣል። አንድ ድር ጣቢያ የተጠቃሚ ግብዓቶችን ለመሰብሰብ ቅጾችን ይዟል። ተጠቃሚውን እንደ የተጠቃሚ ስም አይነት ግብአት ሲጠይቅ ተጠቃሚው ከስም እና ከሱ ይልቅ የSQL መግለጫ ሊሰጥ ይችላል። ስለዚህ፣ በድር ጣቢያው የውሂብ ጎታ ላይ ማሄድ ይችላል።

ምስል 02፡ SQL መርፌ

ከተጨማሪ፣ ጥቂት የSQL መርፌ ምሳሌዎች እንደሚከተለው ናቸው፡

ተጠቃሚን በተጠቃሚው በኩል ለመፈለግ ሁኔታ ሊኖር ይችላል። የግቤት ማረጋገጫ ዘዴ ከሌለ ተጠቃሚው የተሳሳተ ግቤት ማስገባት ይችላል። ተጠቃሚውን እንደ 100 ወይም 1=1 ከገባ የSQL መግለጫ እንደሚከተለው ያወጣል።

userid=100 ወይም 1=1፤ ምረጥከተጠቃሚዎች

ይህ የSQL መግለጫ ሁሉንም ተጠቃሚዎች በመረጃ ቋቱ ውስጥ ሊመልስ ይችላል ምክንያቱም 1=1 ሁልጊዜ እውነት ነው። ይህ ጠላፊ ከሆነ እና የውሂብ ጎታው እንደ የይለፍ ቃሎች ያሉ ሚስጥራዊ መረጃዎችን ከያዘ የተጠቃሚ ስሞችን እና የይለፍ ቃሎችን ማግኘት ይችላል። ያ ለSQL መርፌ ምሳሌ ነው።

በXSS እና በSQL መርፌ መካከል ያለው ልዩነት ምንድን ነው?

XSS አጥቂዎች በሌሎች ተጠቃሚዎች በሚታዩ ድረ-ገጾች ላይ ከደንበኛ ጎን ስክሪፕቶችን እንዲያስገቡ የሚያስችል የኮምፒውተር ደህንነት ተጋላጭነት አይነት ነው። የSQL መርፌ የ SQL መግለጫዎችን ለመፈጸም በቀረበው ግቤት ውስጥ የሚገቡ በዳታ የሚነዱ መተግበሪያዎችን የሚያጠቃ ኮድ መርፌ ዘዴ ነው።

XSS ተንኮል-አዘል ኮድ ወደ ድህረ ገጹ ያስገባል፣ ስለዚህም ኮድ በአሳሹ በድህረ ገጹ ተጠቃሚዎች ውስጥ ይሰራል። በሌላ በኩል፣ የ SQL መርፌ ምንጮችን ለማግኘት ወይም በውሂብ ላይ ለውጦችን ለማድረግ የ SQL ኮድ ወደ የድር ቅጽ ግብዓት ሳጥን ይጨምራል።ይህ በ XSS እና SQL መርፌ መካከል ያለው ዋና ልዩነት ነው። ለXSS በጣም የተለመደው ቋንቋ ጃቫ ስክሪፕት ሲሆን SQL መርፌ SQL ይጠቀማል።

ማጠቃለያ - XSS vs SQL መርፌ

በXSS እና በSQL Injection መካከል ያለው ልዩነት XSS ተንኮል አዘል ኮድ ወደ ድህረ ገጹ ሲያስገባ ኮድ የዚያ ድህረ ገጽ ተጠቃሚዎች በአሳሹ ሲሰራ የSQL መርፌ የSQL ኮድን በድር ቅጽ የግቤት ሳጥን ውስጥ ይጨምራል። የንብረቶች መዳረሻ ያግኙ ወይም በውሂብ ላይ ለውጦችን ለማድረግ።