Die SQL-Injection ist ein Exploit, der sich den Umstand zunutze macht, dass Software für Datenbankabfragen nicht immer gründlich prüft, ob eine Abfrage evtl. durch Formulareingaben eingeschleuste schädliche Kommandos enthält.
Cyberkriminelle nutzen SQL-Injection in Kombination mit Cross-Site-Scripting (XSS) und Malware, um Websites zu hacken und dort Daten zu extrahieren oder schädlichen Code einzubetten.
Bei der SQL-Injection werden Befehle über einen Webserver gesendet, der mit einer SQL- Datenbank verknüpft ist. Wenn der Server nicht richtig aufgesetzt und gehärtet ist, behandelter Daten, die in ein Formularfeld eingegeben werden (z. B. Benutzernamen) als Befehle, die auf dem Datenbankserver auszuführen sind. Ein Angreifer kann dadurch beispielsweise einen Befehl einschleusen, der den gesamten Inhalt der Datenbank (etwa Kundendatensätze und Zahlungsinformationen) herausgibt.
Webanwendungsscans können vor dieser Art von Angriff schützen – mit einem hochentwickelten System an Mustern, die an den Webserver übermittelte SQL-Befehle erkennen. Wie bei jedem musterbasierten System ist es für einen bestmöglichen Schutz auch hier erforderlich,die Muster regelmäßig zu aktualisieren, um neue, kreative Methoden zur Einbettung von SQL-Injection-Befehlen abzuwehren. Durch regelmäßige Scans von Webanwendungen können SQL-Sicherheitslücken einfacher erkannt und Empfehlungen zu deren Schließung ausgesprochen werden.
Quelle: Sophos