Das Einschleusen von SQL-Befehlen in Datenbankmanagementsystemen (DBMS) wird als SQL-Injection bezeichnet. Ähnlich beim Cross-Site-Scripting sind auch viele Web-Anwendungen anfällig für diese Methode.
Der Angriff erfolgt aufgrund von Sicherheitslücken, die auf mangelnde Überprüfung von Nutzereingaben zurückzuführen sind. Eine solche Sicherheitslücke tritt sehr häufig bei dynamisch generierten SQL-Abfragen, die erst nach der erstellt werden, auf. Durch das Anhängen von eigenen SQL-Befehlen an die Übergabe-Parameter ( zum Beispiel durch den Operator UNION oder das Trennzeichen „;“) lassen sich Daten ausspähen oder manipulieren. Außerdem besteht die Möglichkeit Tabellen oder gar ganze Datenbanken zu löschen. In einigen Fällen ist es sogar möglich, auf die Shell (Kommandozeile) des DBMS zuzugreifen, womit der ganze Server eingenommen werden kann. Je nach Konfiguration des DBMS kann durch SQL-Injection ein großer Schaden entstehen. Allerdings können viele Fehlerquellen bereits bei der Konfiguration der Datenbank vermieden werden.
Eine besondere Form der SQL-Injection ist die Blind-SQL-Injection. Diese Art von Angriff verläuft ähnlich der SQL-Injection. Ziel dieser Methode ist es aber nicht das Angreifen des DBMS, sondern das Beschaffen von Informationen über ein Datenbankmanagementsystem. Diese Informationen werden beispielsweise durch Fehlermeldungen, die durch Fehleingaben in den SQL-Befehlen auftreten, erlangt. Das Testen, ob sich eine SQL-Abfrage für eine SQL-Injection eignet, ist auch eine Art der Blind-SQL-Injection. Dabei wird eine Ausgabe, die immer true zurückgibt, an den Übergabe-Parameter gehängt. Wird das Ergebnis ohne Fehlermeldung angezeigt, ist das DBMS angreifbar.

Bekanntes Beispiel für SQL-Injection

Share

Keine ähnlichen Artikel.