SQL Injection

SQL Injection ist ein Security-Exploit, bei dem der Angreifer eine Anfrage über ein Web-Formular per Structured Query Language (SQL) erweitert, um auf Ressourcen zuzugreifen oder Daten zu verändern. Eine SQL-Abfrage ist eine Anforderung, die eine Aufgabe in einer Datenbank ausführt. 

Kostenlosen Guide herunterladen

Infografik: IT-Prioritäten DACH 2020

In dieser Infografik haben wir für Sie die wichtigsten Ergebnisse der im letzten Jahr durchgeführten IT-Prioritäten-Umfrage zusammengefasst. Erfahren Sie hier, welche Projekte und Strategien IT-Entscheider für 2020 planen.

Start Download

• Firmen-E-Mail-Adresse:

  Sie haben vergessen, Ihre E-Mail-Adresse anzugeben.

  Diese E-Mail-Adresse scheint nicht gültig zu sein.

  E-Mail-Adresse ist bereits registriert. Bitte login.

  Sie haben die maximale Anzahl an Zeichen erreicht.

  Bitte geben Sie eine Firmen-E-Mail-Adresse an.

• • Ich stimme den Nutzungsbedingungen von TechTarget, der Datenschutzerklärung und der Weitergabe meiner Informationen an die Vereinigten Staaten zur Verarbeitung zu, damit mir für mich relevante Informationen zugesendet werden können, wie es in unserer Datenschutzerklärung beschrieben ist.

  Bitte kreuzen Sie das Kästchen an, wenn Sie fortfahren möchten.

• • Ich stimme zu, dass meine Daten von TechTarget und seinen Partnern verarbeitet werden, um mit mir per Telefon oder E-Mail über Informationen zu kommunizieren, die für meine beruflichen Interessen relevant sind. Ich habe das Recht mich jederzeit abzumelden.

  Bitte kreuzen Sie das Kästchen an, wenn Sie fortfahren möchten.

Mit dem Absenden bestätige ich, dass ich die Nutzungsbedingungen und die Einverständniserklärung gelesen habe und diese akzeptiere.

Werden beispielsweise Anmeldeinformationen in einem Web-Formular eingetragen, überprüft das System diese Daten mit Hilfe einer SELECT-Abfrage. Stimmen die eingetragenen Werte überein, wird der Nutzer eingelassen; schlägt der Abgleich fehl, wird der Nutzer abgewiesen. 

Allerdings können Angreifer neben Namen und Kennwort oftmals zusätzliche Befehle eingeben, die nicht immer ausgefiltert werden. Angreifer können diesen Umstand nutzen, um SQL-Befehle über diese Eingabefelder abzusetzen und angeschlossene Datenbanken zu manipulieren. Im schlimmsten Fall können sie so die komplette Datenbank herunterladen oder auf andere Weise manipulieren.

Die Gefahr eines Angriffs durch SQL-Injection-Exploits steigt vor allem dank automatisierter Programme. In der Vergangenheit mussten Angreifer die jeweiligen Abfragen per Hand eintippen, inzwischen gibt es Programme, die automatisiert Web-Applikationen im Internet suchen und eine ganz Batterie an SQL-Statements ausprobieren, bis vorhandene Schwachstellen gefunden und ausgenutzt werden können.

Security-Experten gehen davon aus, dass SQL-Injection-Schwachstellen, ähnlich wie Cross-Site-Scripting-Lücken, vor allem durch mangelndes Sicherheitsbewusstsein bei der Entwicklung der Web-Applikationen entstehen. Um den Schutz von Webseiten zu gewährleisten, sollte die Sicherheit daher bereits während der Entwicklung Thema sein, etwa indem Eingabemöglichkeiten genau überprüft und bereinigt werden.