SQL-Injections
Die SQL-Injection ist die vermutlich „populärste“ Angriffs- möglichkeit bzw. Sicherheitslücke bei dynamischen Websites und Webanwendungen.Aktuelle Datenbanksysteme arbeiten mit SQL (Structured Query Language) als Abfrage- und Kontrollsprache – hierbei handelt es sich um eine Sprache in einer bestimmten Syntax, die an die menschliche Sprache angelehnt ist. Bei Datenbankzugriffen bzw. -abfragen wird eine Zeichenkette mit einem Kommando an das Datenbanksystem übergeben – z.B. eine Überprüfung des Namens und des Zugangspassworts eines Benutzers.
An dieser Stelle wird bei der Webentwicklung oft ein verheerender Fehler begangen, der einem Angreifer Tür und Tor öffnet: Benutzereingaben (z.B. Benutzername und Passwort für die Anmeldung an einer Webanwendung) werden im Code einfach unkontrolliert in die Datenbankabfrage-Zeichenkette eingefügt. Bei einem solchen Vorgehen besteht für einen Angreifer die Möglichkeit, die Abfrage nahezu beliebig zu manipulieren und die gesamte Datenbank unter seine Kontrolle zu bringen. Hier können dann fast nach Belieben z.B. Benutzernamen, Passwörter, Inhalte von Seiten oder sonstige Daten ausgespäht, geändert oder gelöscht werden.
Diese Sicherheitslücke gehört zu den
häufigsten Fehlern
bei Webdesign und Webentwicklung.Weitere Informationen finden Sie im
Wikipedia-Artikel zu SQL-Injection (externer Link).
Worring Media
Christian-Philipp Worring
Asperheide 21a
32107 Bad Salzuflen
Tel.: 0 52 22 / 70 76 77
E-Mail: info@worring-media.de
Mitglied von
www.sym-work.de
SITEMAP KONTAKT / IMPRESSUM
Christian-Philipp Worring
Asperheide 21a
32107 Bad Salzuflen
Tel.: 0 52 22 / 70 76 77
E-Mail: info@worring-media.de
Mitglied von
www.sym-work.de
SITEMAP KONTAKT / IMPRESSUM
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|