Die Webanwendung als Sicherheitsrisiko – Teil 2

Direkte Attacken mittels SQL Injection und Remote Command Execution

09.02.2009 | Autor / Redakteur: Marcell Dietl / Stephan Augsten

Über dynamische Website-Inhalte lassen sich angebundene Systeme mittels injizierter Befehle und Dateien kompromittieren.
Über dynamische Website-Inhalte lassen sich angebundene Systeme mittels injizierter Befehle und Dateien kompromittieren.

Schon kleinste Fehler bei der Programmierung von Webanwendungen erlauben es einem technisch versierten Angreifer das gesamte System und alle darauf befindlichen Daten unter seine Kontrolle zu bringen. Die Schäden für Unternehmen betragen jährlich hunderte Millionen Euro. In diesem Beitrag unseres Dreiteilers widmen wir uns Angriffen auf Web-Applikationen, die einen direkten Zugriff auf Systeme ermöglichen.

Mit der Einführung der Hyper Text Markup Language (HTML) wurde für viele auch technisch unerfahrene Nutzer die Möglichkeit geschaffen sich selbst im Internet zu präsentieren. Auch Firmen setzten schnell auf diese Möglichkeit, um neue Kunden zu gewinnen.

Zu Beginn des World Wide Web war es zum Erstellen von Webseiten notwendig jede einzelne Seite in HTML statisch zu programmieren. Mittlerweile haben Sprachen wie PHP und andere diese Statik ersetzt.

Was Anfangs noch undenkbar war ist heute zum Standard geworden: Dynamische Webseiten, welche einfach verwaltet werden können und dem Besucher einen interaktiven Umgang mit Informationen bieten.

Durch die Anbindung an Datenbanken und mit Hilfe von Parametern, welche in der URL an die Webapplikation übergeben werden, reagiert die Webseite auf die Aktionen des Nutzers und generiert die zu erzeugende Ausgabe dynamisch. So können für jeden Nutzer gezielt bestimmte Informationen bereit gestellt werden, welche für andere nicht zugänglich sein sollten.

Doch bei der Umsetzung werden häufig Fehler gemacht, welche es erlauben diese Einschränkungen zu umgehen und sich höhere Rechte und somit auch mehr Informationen zu verschaffen.

Seite 2: Die Risiken eines SQL-Injection-Angriffs

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2019283 / Mobile- und Web-Apps)