Wie oft haben Sie schon von SQL-Injection gehört und sich geschworen, es zu verstehen, ohne die Zeit oder Lust dazu zu haben?
Wenn Sie drei Minuten Zeit haben, werde ich versuchen, es Ihnen einfach zu erklären.
Beginnen wir mit dem Namen: SQLi, SQL Injection oder vollständig (in einer der möglichen Interpretationen) „Strukturierte Abfragespracheninjektion“ Dabei handelt es sich um eine Art Angriff auf die Datenbank einer Webanwendung, der in der Ausführung einer böswilligen Abfrage besteht. Der Vollständigkeit halber füge ich hinzu, dass SQL die Standardsprache ist, die für die Interaktion mit einer relationalen Datenbank verwendet wird.
Aber was bedeutet es? Du sagst.
Nehmen wir ein praktisches Beispiel. Stellen Sie sich eine Webseite einer Online-Handelsseite vor, auf der es im Allgemeinen möglich ist, ein Produkt zum Kauf zu suchen und auszuwählen. Oftmals können Sie in das Suchfeld Textzeichenfolgen eingeben, die Symbole oder Sonderzeichen enthalten. Nun, einige Zeichen mögen für uns harmlos erscheinen, aber das gilt nicht für die Datenbank, die sie völlig anders interpretiert.
Was kann passieren, wenn Sie Opfer eines SQLi-Angriffs werden?
Leider kann alles passieren.
Wenn die Kontrollen für mögliche Datenbankabfragen falsch sind (oder, wie wir immer noch sehen, nicht vorhanden sind), ist es möglich, dass die darin enthaltenen Daten geändert, gelöscht, kopiert oder sogar verschlüsselt werden. Der Übergang von der Datenbank in andere Bereiche des Systems ist nicht schwierig, sodass ein Angreifer mit Zeit und einem Minimum an Ressourcen und IT-Kenntnissen wirklich großen Schaden anrichten kann.
SQLi ist einer der bekanntesten Angriffe und einer, der auch heute noch funktioniert, vor allem aufgrund der schlechten Programmierung von Webseiten, bei denen, wie bereits erwähnt, nicht die korrekten Prüfungen durchgeführt werden, was ein Site-Benutzer als Anfrage eingeben kann.
Dank des Artikels ist diese Art von Angriff seit mindestens 1998 öffentlich bekannt „Sicherheitslücken in der NT-Web-Technologie“ veröffentlicht auf Phrack von Rain Forest Puppy, Pseudonym von Jeff Forristal, Hacker und Weltsicherheitsexperte.
Um mehr zu erfahren:
- http://phrack.org/issues/54/8.html
- https://www.esecurityplanet.com/networks/how-was-sql-injection-discovered/
