sql注入和xss注入有什么不一样呢?

在OWASP Top10中注入排在第一位,xss排在第七位,那么问题问题就来了,sql注入和xss注入都是注入,为什么要单独把xss单独拿出来排个名呢?他俩到底有啥区别,各自的特点是啥?本文不对它俩做详细的讲解,后续会出详细讲解的文章,本文仅从概念、注入方式、危害三个方向进行对比。

概念简介

sql注入

百度曰:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

我个人的理解是,通过某种方法,将恶意的sql语句夹带进原本的sql语句,一起传递给数据库,站在数据库的角度没有语法错误的语句都是正常语句,所以都会执行,然后就可获取本无法获取的数据。

 

xss注入

百度曰:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

我个人的理解是,攻击者通过某些方法,将恶意脚本或命令嵌入(用夹带一词也行)到用户访问的页面中,当正常用户访问页面时,触发嵌入的恶意脚本/命令,这个就是xss注入。

注入类别(上文的某种方式)

两个注入的类别的原因是相同又不相同,相同是应用程序没有对用户的输入做足够的验证给了攻击者有了可趁之机,不同的是这两种对于“验证不足”的利用方式是不一样的。

 

sql注入类别

以下是根据执行的效果进行分类

1、联合注入

2、布尔盲注

3、报错注入

4、时间注入

5、堆叠查询注入

6、http请求头注入

 

xss注入类别

1、反射型

2、存储型

3、DOM型

注入的危害

sql注入的危害

1、攻击者未经授权可以获取数据库中的数据,造成数据泄露;

2、攻击者可以篡改数据库内容,比如将部分内容篡改为违法内容;

3、攻击者可以对数据库中数据进行操作(增加/删除),比如添加一个后门用户;

4、攻击者甚至可以进行提权,获取服务器管理员权限,安装后门,然后为所欲为;

 

xss注入的危害

1、xss蠕虫;

2、按键记录;

3、钓鱼欺骗;

4、劫持用户Web行为,监控用户的浏览历史;

5、窃取用户Cookie,盗取用户信息,盗用用户身份;

 

危害小结:可以很明显的对比出来,sql注入更多的是针对应用程序的数据库,而xss针对的更多的是应用程序的使用者。

 

总结:sql注入和xss注入虽然本质上都是注入,但是注入的对象、注入的方法以及造成的受害者都是不一样的。本文的对比分析到这里就结束了,后续会继续开启两者的详细解说,敬请期待~

  • 8
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
XSS注入SQL注入虽然都属于注入攻击,但它们有一些区别和特点。 首先,XSS注入SQL注入在攻击指令注入的方式上有所不同。XSS注入是通过向用户输入的域注入恶意的HTML代码(即脚本),而SQL注入则是通过向用户输入的域注入恶意的SQL命令。因此,XSS注入攻击的目标是在用户终端执行恶意代码,而SQL注入攻击的目标是获取或控制后台数据库。 其次,XSS注入SQL注入都是利用了Web服务器未对用户输入数据进行严格的检查和过滤的漏洞。这种漏洞使得黑客能够将恶意代码或命令注入到网页中,从而实现攻击目的。 另外,XSS攻击的主要目标是窃取Web终端用户的敏感数据,并有可能控制用户终端操作;而SQL注入攻击的主要目标是窃取Web后台数据库中的敏感数据,并有可能控制整个数据库服务器。因此,XSS攻击的影响范围更局限于用户终端,而SQL注入攻击的影响范围更广泛,涉及到整个数据库系统。 总结起来,XSS注入SQL注入区别主要在于攻击目标和注入内容的差异。XSS注入攻击主要通过注入恶意的HTML代码来实现窃取用户数据和控制用户终端操作的目的,而SQL注入攻击主要通过注入恶意的SQL命令来实现窃取数据库数据和控制数据库服务器的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [sql注入xss注入有什么不一样呢?](https://blog.csdn.net/qq_24601199/article/details/116332531)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [XSS基础](https://blog.csdn.net/qq_57157540/article/details/124413128)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hobby云说

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值