SQL-Injection-(SQLi-)Schwachstellen sind Sicherheitslücken in (Web-)Anwendungen. Sie ermöglichen es Angreifern, Datenbank-Abfragen einer Anwendung zu manipulieren. Dadurch kann ein Angreifer an Daten gelangen, die er normalerweise nicht abrufen kann. Das können Daten von anderen Benutzern sein oder auch – je nachdem, wie schwerwiegend die Lücke ist – alle anderen Daten, auf welche die Anwendung selbst zugreifen kann. Schreibzugriffe auf Daten sind ebenfalls möglich. In solchen Fällen können Angreifer die Inhalte oder das Verhalten einer Anwendung dauerhaft verändern.

Wie kommt es zu SQLi-Schwachstellen?

Diese Schwachstellen haben ihren Ursprung überwiegend in unzulänglicher Programmierung. Steuerzeichen, die in der Datenbank-Abfragesprache SQL (Structured Queried Language) verwendet werden, müssen durch die Anwendung speziell behandelt werden – was oft und gerne vergessen wird. Angreifer, die solche Steuerzeichen geschickt verwenden, können die Datenbank-Abfragen manipulieren. Wenn die Anwendung die Steuerzeichen nicht korrekt behandelt, kann es zu unberechtigten Zugriffen auf die Daten in der Datenbank kommen.

Wie betrifft diese Lücke uns als Organisation, und wie können wir uns schützen?

Jede Organisation, die eigene oder fremdentwickelte Software einsetzt, ist potenziell anfällig für die beschriebenen Schwachstellen. Der Grund dafür ist, dass Datenbanken und die Datenbank-Sprache SQL sehr weit verbreitet sind und häufig Fehler bei der Programmierung gemacht werden.
Benutzer können SQLi-Lücken nicht ohne Weiteres erkennen. Es braucht Spezialisten samt entsprechender Werkzeuge, um die Anwendungen auf solche Schwachstellen zu testen. Gerne beraten wir Sie in einem kostenlosen Erstgespräch hinsichtlich einer sinnvollen Präventionsstrategie, um solche und andere Schwachstellen proaktiv zu erkennen.

Weitere Artikel

Die ISO 27001 fordert von Ihnen, regelmäßig ein sog. Internes Audit (engl. Internal Audit) Ihres ISMS (Informationssicherheitsmanagementsystem) durchzuführen, um die Standard-Konformität zu überprüfen. Obgleich es „internes Audit“ heißt, dürfen – und sollten – Sie selbstverständlich...
Was ist eigentlich der Unterschied zwischen einem Vulnerability Scanund einem Penetration Test? Darüber scheint es interessante Fehlannahmen zu geben, wie wir an folgendem Praxisbeispiel zeigen möchten.
Instant 27001, das einfache und pragmatische Dokumentationssystem für Informationssicherheitsmanagementsysteme (ISMS) nach dem internationalen Standard ISO 27001, ist neben Atlassian Confluence jetzt auch für Microsoft 365 verfügbar. Nahtlose Integration in Microsoft-Umgebung Zusammen mit ISOPlanner bietet Instant...