SQL-Injection-(SQLi-)Schwachstellen sind Sicherheitslücken in (Web-)Anwendungen. Sie ermöglichen es Angreifern, Datenbank-Abfragen einer Anwendung zu manipulieren. Dadurch kann ein Angreifer an Daten gelangen, die er normalerweise nicht abrufen kann. Das können Daten von anderen Benutzern sein oder auch – je nachdem, wie schwerwiegend die Lücke ist – alle anderen Daten, auf welche die Anwendung selbst zugreifen kann. Schreibzugriffe auf Daten sind ebenfalls möglich. In solchen Fällen können Angreifer die Inhalte oder das Verhalten einer Anwendung dauerhaft verändern.

Wie kommt es zu SQLi-Schwachstellen?

Diese Schwachstellen haben ihren Ursprung überwiegend in unzulänglicher Programmierung. Steuerzeichen, die in der Datenbank-Abfragesprache SQL (Structured Queried Language) verwendet werden, müssen durch die Anwendung speziell behandelt werden – was oft und gerne vergessen wird. Angreifer, die solche Steuerzeichen geschickt verwenden, können die Datenbank-Abfragen manipulieren. Wenn die Anwendung die Steuerzeichen nicht korrekt behandelt, kann es zu unberechtigten Zugriffen auf die Daten in der Datenbank kommen.

Wie betrifft diese Lücke uns als Organisation, und wie können wir uns schützen?

Jede Organisation, die eigene oder fremdentwickelte Software einsetzt, ist potenziell anfällig für die beschriebenen Schwachstellen. Der Grund dafür ist, dass Datenbanken und die Datenbank-Sprache SQL sehr weit verbreitet sind und häufig Fehler bei der Programmierung gemacht werden.
Benutzer können SQLi-Lücken nicht ohne Weiteres erkennen. Es braucht Spezialisten samt entsprechender Werkzeuge, um die Anwendungen auf solche Schwachstellen zu testen. Gerne beraten wir Sie in einem kostenlosen Erstgespräch hinsichtlich einer sinnvollen Präventionsstrategie, um solche und andere Schwachstellen proaktiv zu erkennen.

Weitere Artikel

IT-Sicherheit oder Informationssicherheit werden als Begriff oft synonym genutzt, gehen in eine vergleichbare Richtung und meinen aber Unterschiedliches. Ein genauerer Blick lohnt jedoch, um die Begrifflichkeiten zu differenzieren. Informationssicherheit „Informationssicherheit“ umfasst als Überbegriff den Schutz...
Was wird eigentlich bei der Zertifizierung zur ISO 27001 genau unter die Lupe genommen? Um diese Frage ranken sich zahlreiche Mythen. Viele glauben, „die IT-Sicherheit“ werde geprüft. Andere meinen, die Compliance würde auf Herz und...
“37,0 Prozent der Unternehmen in Deutschland schulen ihre Mitarbeiter nicht regelmäßig zu Themen wie Spam oder Phishing. (…) Nur jedes dritte Unternehmen (35,5 Prozent) (verfügt) über eine Patch-Management-Richtlinie. Dabei gehören Sicherheitslücken in Anwendungen und Betriebssystemen...