:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition SQL Injection Was ist SQL Injection?
SQL Injection ist eine beliebte Angriffsart auf Webanwendungen. Aufgrund von Schwachstellen in den Webanwendungen gelingt es Angreifern, unerwünschte Datenbankbefehle einzuschleusen. Möglich wird dies beispielsweise, wenn die Eingaben eines Anwenders in ein Webformular nicht ausreichend geprüft werden. Mit Hilfe der eingeschleusten Befehle lassen sich Daten unbefugt lesen, manipulieren oder löschen. Unter Umständen erlangt der Angreifer die volle Kontrolle über den Server.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
SQL Injection ist der Name einer häufig im Internet vorkommenden Angriffsart auf Webanwendungen und Datenbanken. Diese Angriffsart schleust unter Ausnutzung von Schwachstellen in den Webanwendungen unerwünschte Datenbankbefehle ein. Möglich wird dies beispielsweise, wenn die Webanwendung die Eingaben eines Anwenders in einem Webformular nicht ausreichend prüft und sogenannte Metazeichen wie Backslash oder Semikolon akzeptiert. Diese Zeichen haben eine besondere Bedeutung für den SQL-Interpreter und veranlassen diesen, die eingeschleusten Befehle auszuführen.
Gelingt es einem Angreifer, Datenbankbefehle auf diese Art einzuschleusen, ist er in der Lage, unbefugt Daten zu lesen, zu manipulieren oder zu löschen. Unter Umständen ist es sogar möglich, die komplette Kontrolle über einen Datenbankserver zu übernehmen. Da im Internet viele Webanwendungen und Content Management System ihre Inhalte dynamisch mit Hilfe von PHP-Skripten und mit den in relationalen Datenbanksystemen wie MySQL gespeicherten Daten generieren, besteht ein potentielles Risiko für SQL-Injection-Schwachstellen. Das Open Web Application Security Project (OWASP), eine Non-Profit-Organisation zur Verbesserung der Sicherheit von Anwendungen und Diensten im Internet, listet Angriffe mit SQL Injection als eines der höchsten Sicherheitsrisiken für Webanwendungen.
Die möglichen Folgen von SQL Injection
Gelingt es einem Angreifer, SQL-Befehle einzuschleusen und den Interpreter dazu zu veranlassen, diese auszuführen, hat dies unter Umständen schwerwiegende Folgen. Es lassen sich sensible Daten unbefugt auslesen, verändern, manipulieren oder löschen. In einigen Fällen ist es durch das Einschleusen von Befehlen möglich, die komplette Kontrolle über einen Datenbankserver oder weitere Systeme zu erlangen. Die durch SQL Injection erhaltenen Informationen lassen sich beispielsweise für erpresserische Zwecke oder für Betriebsspionage nutzen. Das Image eines betroffenen Unternehmens oder einer Organisation kann stark in Mitleidenschaft gezogen werden.
Die verschiedenen Arten von SQL Injection
Es existieren verschiedene Arten von SQL Injection. Eine der häufigsten Arten ist das Einschleusen der SQL-Befehle über Formularfelder für Nutzereingaben. Werden die Nutzereingaben nicht ausreichend geprüft und an den SQL-Interpreter übergeben, lassen sich eingeschleuste Befehle auf eine Datenbank und die dort gespeicherten Informationen anwenden. Das Einschleusen von SQL-Befehlen kann beispielsweise auch über manipulierte Cookies oder HTTP-Header stattfinden.
Die Schutzmaßnahmen vor SQL Injection
Wichtigste Schutzmaßnahme vor SQL Injection ist die Prüfung, Filterung und Bereinigung der Benutzereingaben. Die Eingaben dürfen nur erwartete Eigenschaften und Zeichen besitzen und keine unerlaubten Metazeichen beinhalten, die an den SQL-Interpreter übergeben werden. Eine weitere Schutzmaßnahme ist die Einschränkung der Benutzerprivilegien. Eine Webanwendung, die sich über einen Benutzer an einem Datenbankserver authentifiziert, sollte immer nur die Rechte besitzen, die sie tatsächlich benötigt (Prinzip der minimalen Berechtigungen).
Weitere Schutzmaßnahmen sind:
- Härtung des Datenbankservers
- Löschen nicht benötigter Benutzerkonten
- Isolation der Benutzereingaben vom SQL-Interpreter
- zeitnahes Einspielen von Updates und Patches
- Nutzung von Intrusion Detection Systemen (IDS), Intrusion Prevention Systemen (IPS) und Web Application Firewalls (WAF)
- regelmäßige Sicherheits-Scans der Webanwendungen
(ID:47387029)
:quality(80)/images.vogel.de/vogelonline/bdb/1927400/1927434/original.jpg "Mit diesen 10 Tipps lassen sich SQL-Datenbanken in Microsoft Azure sicher bereitstellen. (GOCMEN - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1911100/1911195/original.jpg "In diesem Tool-Tipp zeigen wir, wie man mit ConfigServer Security & Firewall (CSF) Firewalls auf Linux-Servern einfacher verwaltet. (Vasyl - stock.adobe.com)")