パンプキンスパイスラテ

IT系のことが多めの日記帳です

SQLインジェクションとXSS(クロスサイトスクリプティング)について

俺の認識が間違ってるのかなぁ。

SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説 - builder by ZDNet Japan

これXSSだと思うんだけど、SQLインジェクションって書いてある。これだけじゃなくて、他のサイトや、会社の人も俺はXSSだと思ってることをSQLインジェクションって言うんだよね。
wikipediaで調べてみると、下記のように書いてある。

SQLインジェクション

SQLインジェクション(英:SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のこと。

SQLに別のSQL文を「注入 (inject)」されることから、「ダイレクトSQLコマンドインジェクション」とも呼ばれる。

SQLインジェクション - Wikipedia

XSS

クロスサイトスクリプティング (Cross Site Scripting) とは、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させること。また、それを許す脆弱性のこと。広義にはスクリプトを混入させずとも、任意の要素を混入させられうる脆弱性を含む。略記としてCSSXSSがある。CSSは同分野でよく使用されるCascading Style Sheetsの略でもあるので、混乱を避けるためにXSSと表記されることが多い。

クロスサイトスクリプティング - Wikipedia

つまり、フォームなどから送られたデータでSQL文の中でごにょごにょやって、DBをいじるのが「SQLインジェクション」で、DBに入ってるデータを表示させてjavascriptなどでごにょごにょするのが「XSS」って認識なんだけど間違ってる?