SQL-Injection-(SQLi-)Schwachstellen sind Sicherheitslücken in (Web-)Anwendungen. Sie ermöglichen es Angreifern, Datenbank-Abfragen einer Anwendung zu manipulieren. Dadurch kann ein Angreifer an Daten gelangen, die er normalerweise nicht abrufen kann. Das können Daten von anderen Benutzern sein oder auch – je nachdem, wie schwerwiegend die Lücke ist – alle anderen Daten, auf welche die Anwendung selbst zugreifen kann. Schreibzugriffe auf Daten sind ebenfalls möglich. In solchen Fällen können Angreifer die Inhalte oder das Verhalten einer Anwendung dauerhaft verändern.

Wie kommt es zu SQLi-Schwachstellen?

Diese Schwachstellen haben ihren Ursprung überwiegend in unzulänglicher Programmierung. Steuerzeichen, die in der Datenbank-Abfragesprache SQL (Structured Queried Language) verwendet werden, müssen durch die Anwendung speziell behandelt werden – was oft und gerne vergessen wird. Angreifer, die solche Steuerzeichen geschickt verwenden, können die Datenbank-Abfragen manipulieren. Wenn die Anwendung die Steuerzeichen nicht korrekt behandelt, kann es zu unberechtigten Zugriffen auf die Daten in der Datenbank kommen.

Wie betrifft diese Lücke uns als Organisation, und wie können wir uns schützen?

Jede Organisation, die eigene oder fremdentwickelte Software einsetzt, ist potenziell anfällig für die beschriebenen Schwachstellen. Der Grund dafür ist, dass Datenbanken und die Datenbank-Sprache SQL sehr weit verbreitet sind und häufig Fehler bei der Programmierung gemacht werden.
Benutzer können SQLi-Lücken nicht ohne Weiteres erkennen. Es braucht Spezialisten samt entsprechender Werkzeuge, um die Anwendungen auf solche Schwachstellen zu testen. Gerne beraten wir Sie in einem kostenlosen Erstgespräch hinsichtlich einer sinnvollen Präventionsstrategie, um solche und andere Schwachstellen proaktiv zu erkennen.

Weitere Artikel

Eine der größten Herausforderungen beim Aufbau und dem Betrieb von Informationssicherheitsmanagementsystemen nach ISO 27001 ist die angemessene Dokumentation. Diese ist Gegenstand der Überprüfungen beim Audit und dient der Organisation auch im Tagesgeschäft dazu, alle implementierten...
Wir freuen uns über die Aufnahme als Unterstützer von Pack ma’s digital. Unsere Mission bei TEN Information Management ist es, Informations- und IT-Sicherheit für kleine und mittelständische Unternehmen greifbar zu machen. Und darum freuen wir...
Überprüfungen der IT-Sicherheit sind aus den unterschiedlichsten Gründen sinnvoll und angeraten. Externe Gründe wie regulatorische Anforderungen – die KRITIS-Verordnung oder das IT-Sicherheitsgesetz seien beispielhaft genannt – können solche Überprüfungen fordern. Unternehmen können aber auch aus...