Suchen

Die Webanwendung als Sicherheitsrisiko – Teil 2

Direkte Attacken mittels SQL Injection und Remote Command Execution

Seite: 2/3

Firma zum Thema

Die Risiken eines SQL-Injection-Angriffs

Es gibt derzeit etwa eine handvoll Datenbanksysteme, die auf der so genannten Structured Query Language (SQL) aufbauen. Ziel dieser „Programmiersprache“ ist es, große Datenbanken schnell und einfach zu administrieren und mit einer einzigen Abfrage nur jen Informationen zu erhalten, welche jeweils nötig sind.

Diesem Prinzip folgen Webseiten, die entsprechende Datenbank-Systeme als Backend benutzen. So werden zum Beispiel Suchanfragen eines Benutzers an die Datenbank übergeben und das Ergebnis dieser für den Nutzer unsichtbar ablaufenden SQL-Befehle anschließend präsentiert. Ohne eine Filterung der Eingaben eines Benutzers kann dieser die Abfrage manuell verändern und letztlich auch die für ihn sichtbaren Ergebnisse beeinflussen.

Ist ein Angreifer imstande einen solchen Fehler auszunutzen, kann er alle in der Datenbank gespeicherten Informationen gezielt auswerten und die für ihn interessantesten Datensätze herunterladen. Gerade bei Firmen sind dies oftmals Informationen über Mitarbeiter und Kunden – wie etwa Bankverbindungen, Sozialversicherungsnummern oder ähnliches.

Auch der Zugriff auf Systemdateien sowie das Ausführen von Kommandos mit den Rechten der Webanwendung ist unter bestimmten Umständen möglich.

Das Sytem dank RCE-Fehlern steuern

Die als Remote Command Execution (RCE) bekannte Schwachstelle ist vergleichsweise selten vorzufinden. Jedoch stellt sie die größte Gefahr für ein System dar, welches eine Person mit Hilfe der Webapplikation versucht unter seine Kontrolle zu bringen.

Durch fehlende Filterung der Eingaben von Nutzern ist es – ähnlich dem vorher bei Datenbanken beschriebenen Problem – möglich, den ausgeführten Befehl anzupassen. Bei RCE jedoch wird dieser Befehl nicht an die Datenbank übergeben, sondern direkt an das Betriebssystem.

Ein Angreifer kann dadurch all jene Aktionen ausführen zu denen der jeweilige Nutzeraccount, unter dem die Anwendung läuft, berechtigt ist. Von dem Auslesen von Daten bis hin zum Anlegen neuer administrativer Nutzer sind alle Möglichkeiten gegeben.

Seite 3: Einbinden externer Dateien durch Remote File Inclusions

Artikelfiles und Artikellinks

(ID:2019283)