Différence entre l'injection XSS et SQL

le différence clé entre XSS et SQL Injection est que le XSS (ou Cross Site Scripting) est un type de vulnérabilité de sécurité informatique qui injecte un code malveillant sur le site Web de sorte que le code s'exécute dans les utilisateurs de ce site Web par le navigateur, tandis que l'injection SQL est un autre mécanisme de piratage de site Web qui ajoute du code SQL à une zone de saisie de formulaire Web pour accéder aux ressources ou modifier les données.

Chaque organisation gère des sites Web qui contribuent à améliorer les activités et la rentabilité. Une application Web contient le côté client et le côté serveur. Le côté client comprend les interfaces utilisateur permettant d'interagir avec l'application. Le côté serveur inclut la base de données. Généralement, certaines menaces affectent le bon fonctionnement de l'application. Deux d'entre eux sont l'injection XSS et SQL.

CONTENU

1. Vue d'ensemble et différence clé
2. Qu'est-ce que XSS?
3. Qu'est-ce que l'injection SQL?
4. Comparaison côte à côte: injection XSS et SQL sous forme tabulaire
5. Résumé

Qu'est-ce que XSS??

XSS est l'abréviation de Cross Site Scripting. C'est l'une des attaques les plus courantes sur les sites Web. Cela peut affecter ce site Web ainsi que les utilisateurs de ce site. Le langage le plus courant pour écrire du code malveillant pour une attaque XSS est le JavaScript. XSS peut voler les cookies des utilisateurs, modifier les paramètres de l'utilisateur, afficher divers téléchargements de programmes malveillants, etc..

Figure 01: XSS

Il existe deux types de XSS. Ils sont le XSS persistant et non persistant. Dans XSS persistant, le code malveillant enregistre sur le serveur de la base de données. Ensuite, il fonctionnera sur la page normale. Dans XSS non persistant, le code malveillant injecté sera envoyé au serveur via une requête HTTP. Habituellement, ces attaques peuvent se produire dans les champs de recherche.

Qu'est-ce que l'injection SQL??

SQL Injection est un autre mécanisme de piratage de site Web. Il place un code malveillant dans les instructions SQL via une entrée de page Web. Un site Web contient des formulaires pour collecter les entrées de l'utilisateur. Lorsqu’il demande à l’utilisateur des entrées telles que nom d’utilisateur, IDutilisateur, il peut fournir une instruction SQL au lieu de nom et elle. Donc, il peut fonctionner sur la base de données du site.

Figure 02: Injection SQL

En outre, quelques exemples d’injections SQL sont les suivants:

Il peut y avoir une situation pour rechercher un utilisateur à travers l'ID utilisateur. S'il n'y a pas de méthode de validation des entrées, l'utilisateur peut entrer une mauvaise entrée. S'il entre l'ID utilisateur sous la forme 100 OU 1 = 1, il générera une instruction SQL comme suit.

sélectionnez * parmi les utilisateurs où userid = 100 ou 1 = 1;

Cette instruction SQL peut renvoyer tous les utilisateurs de la base de données car 1 = 1 est toujours vrai. S'il s'agissait d'un pirate informatique et que la base de données contenait des données confidentielles telles que des mots de passe, il peut alors accéder aux noms d'utilisateur et aux mots de passe. C'est un exemple pour SQL Injection.

Quelle est la différence entre l'injection XSS et SQL?

XSS est un type de vulnérabilité de la sécurité informatique dans les applications Web qui permet aux attaquants d’injecter des scripts côté client dans des pages Web consultées par d’autres utilisateurs. L'injection SQL est une technique d'injection de code qui attaque les applications pilotées par les données qui insèrent des instructions SQL dans une entrée classée pour exécution..

XSS injecte un code malveillant sur le site Web, de sorte que le code s'exécute dans les utilisateurs de ce site Web par le navigateur. Par ailleurs, l'injection SQL ajoute du code SQL à une zone de saisie de formulaire Web pour accéder aux ressources ou modifier les données. C'est la principale différence entre l'injection XSS et SQL. Le langage le plus commun pour XSS est JavaScript alors que l'injection SQL utilise SQL.

Résumé - Injection XSS vs SQL

La différence entre XSS et SQL Injection réside dans le fait que XSS injecte un code malveillant dans le site Web, de sorte que le code s’exécute dans les utilisateurs de ce site Web par le navigateur, tandis que l’injection SQL ajoute du code SQL à une zone de saisie de formulaire Web pour accéder aux ressources ou apporter des modifications aux données.

Référence:

1. «Qu'est-ce que l'injection SQL? - Définition de WhatIs.com. ”SearchSoftwareQuality, TechTarget. Disponible ici 
2. «Injection SQL». Didacticiels Web en ligne de W3Schools. Disponible ici 
3. «Qu'est-ce que le script intersite (XSS)? - Définition de WhatIs.com. ”SearchSecurity, TechTarget. Disponible ici  

Courtoisie d'image:

1.'26327769571 'de Christiaan Colen (CC BY-SA 2.0) via Flickr
2.SQL injection'By Batka Savemazaalai - Travail personnel, (CC BY-SA 4.0) via Wikimedia Commons