SQL-Injection-Schwachstellen – Fehler in der Programmierung können teuer werden

SQL-Injection-(SQLi-)Schwachstellen sind Sicherheitslücken in (Web-)Anwendungen. Sie ermöglichen es Angreifern, Datenbank-Abfragen einer Anwendung zu manipulieren. Dadurch kann ein Angreifer an Daten gelangen, die er normalerweise nicht abrufen kann. Das können Daten von anderen Benutzern sein oder auch – je nachdem, wie schwerwiegend die Lücke ist – alle anderen Daten, auf welche die Anwendung selbst zugreifen kann. Schreibzugriffe auf Daten sind ebenfalls möglich. In solchen Fällen können Angreifer die Inhalte oder das Verhalten einer Anwendung dauerhaft verändern.

Wie kommt es zu SQLi-Schwachstellen?

Diese Schwachstellen haben ihren Ursprung überwiegend in unzulänglicher Programmierung. Steuerzeichen, die in der Datenbank-Abfragesprache SQL (Structured Queried Language) verwendet werden, müssen durch die Anwendung speziell behandelt werden – was oft und gerne vergessen wird. Angreifer, die solche Steuerzeichen geschickt verwenden, können die Datenbank-Abfragen manipulieren. Wenn die Anwendung die Steuerzeichen nicht korrekt behandelt, kann es zu unberechtigten Zugriffen auf die Daten in der Datenbank kommen.

Wie betrifft diese Lücke uns als Organisation, und wie können wir uns schützen?

Jede Organisation, die eigene oder fremdentwickelte Software einsetzt, ist potenziell anfällig für die beschriebenen Schwachstellen. Der Grund dafür ist, dass Datenbanken und die Datenbank-Sprache SQL sehr weit verbreitet sind und häufig Fehler bei der Programmierung gemacht werden.
Benutzer können SQLi-Lücken nicht ohne Weiteres erkennen. Es braucht Spezialisten samt entsprechender Werkzeuge, um die Anwendungen auf solche Schwachstellen zu testen. Gerne beraten wir Sie in einem kostenlosen Erstgespräch hinsichtlich einer sinnvollen Präventionsstrategie, um solche und andere Schwachstellen proaktiv zu erkennen.

Weitere Artikel

Sicherheitslücke bei Linux Der beliebte Samba-Server stellt Windows Datei- und Druckdienste in Linux-Umgebungen bereit. Nun klafft eine ernste Sicherheitslücke. Linux-Systeme sollten schnellstmöglich aktualisiert werden, da die Schwachstelle mit der Kennung CVE-2020-27840 bereits aktiv ausgenutzt wird....
Die ISO 27001 fordert von Ihnen, regelmäßig ein sog. Internes Audit (engl. Internal Audit) Ihres ISMS (Informationssicherheitsmanagementsystem) durchzuführen, um die Standard-Konformität zu überprüfen. Obgleich es „internes Audit“ heißt, dürfen – und sollten – Sie selbstverständlich...
Was ist eigentlich der Unterschied zwischen einem Vulnerability Scanund einem Penetration Test? Darüber scheint es interessante Fehlannahmen zu geben, wie wir an folgendem Praxisbeispiel zeigen möchten.