Suchen

Die Webanwendung als Sicherheitsrisiko – Teil 2 Direkte Attacken mittels SQL Injection und Remote Command Execution

| Autor / Redakteur: Marcell Dietl / Stephan Augsten

Schon kleinste Fehler bei der Programmierung von Webanwendungen erlauben es einem technisch versierten Angreifer das gesamte System und alle darauf befindlichen Daten unter seine Kontrolle zu bringen. Die Schäden für Unternehmen betragen jährlich hunderte Millionen Euro. In diesem Beitrag unseres Dreiteilers widmen wir uns Angriffen auf Web-Applikationen, die einen direkten Zugriff auf Systeme ermöglichen.

Firma zum Thema

Über dynamische Website-Inhalte lassen sich angebundene Systeme mittels injizierter Befehle und Dateien kompromittieren.
Über dynamische Website-Inhalte lassen sich angebundene Systeme mittels injizierter Befehle und Dateien kompromittieren.
( Archiv: Vogel Business Media )

Mit der Einführung der Hyper Text Markup Language (HTML) wurde für viele auch technisch unerfahrene Nutzer die Möglichkeit geschaffen sich selbst im Internet zu präsentieren. Auch Firmen setzten schnell auf diese Möglichkeit, um neue Kunden zu gewinnen.

Zu Beginn des World Wide Web war es zum Erstellen von Webseiten notwendig jede einzelne Seite in HTML statisch zu programmieren. Mittlerweile haben Sprachen wie PHP und andere diese Statik ersetzt.

Was Anfangs noch undenkbar war ist heute zum Standard geworden: Dynamische Webseiten, welche einfach verwaltet werden können und dem Besucher einen interaktiven Umgang mit Informationen bieten.

Durch die Anbindung an Datenbanken und mit Hilfe von Parametern, welche in der URL an die Webapplikation übergeben werden, reagiert die Webseite auf die Aktionen des Nutzers und generiert die zu erzeugende Ausgabe dynamisch. So können für jeden Nutzer gezielt bestimmte Informationen bereit gestellt werden, welche für andere nicht zugänglich sein sollten.

Doch bei der Umsetzung werden häufig Fehler gemacht, welche es erlauben diese Einschränkungen zu umgehen und sich höhere Rechte und somit auch mehr Informationen zu verschaffen.

Seite 2: Die Risiken eines SQL-Injection-Angriffs

Artikelfiles und Artikellinks

(ID:2019283)