Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.
02
Beispiel einer SQL-Injection
Angreifer nutzen SQL-Injections etwa um Datenbanken für User, Schüler, Produkte und dergleichen zu korrumpieren. Hier verwenden Software-Entwickler typischer Weise eine REST-API für den Abruf von Benutzern:
https://myapi.com/users/123
Diese Eingabe würde wahrscheinlich zu einer (nicht gesäuberten) Anfrage wie dieser führen würde:
SELECT * from users where id = 123
Wenn die API über keine Eingabedaten-Validierung / -Hygiene verfügt, besteht die Möglichkeit, mittels SQLi jeden Benutzer im System zu löschen. Die hierzu erforderlichen Eingaben sehen etwa so aus:
https://myapi.com/users/123;DELETE FROM users where id != 0
oder so:
https://myapi.com/users/123;TRUNCATE users
Hat der Angreifer Kenntnisse über die Datenstruktur in der Datenbank, könnte er durch Hinzufügen oder Aktualisieren von Einträgen in der Datenbank an Admin-Rechte erlangen:
https://myapi.com/users/123;UPDATE users set admin = 1 where id = 456
oder so:
https://myapi.com/users/123;INSERT INTO user_roles (userId, role) VALUES (456, 'ADMIN')
Weitere detaillierte Fallbeschreibungen inclusive Code-Beispiele finden Sie auf der Webseite der OWASP Foundation.
06
Diese Folgen zieht eine SQLi nach sich
Kommt es in Folge einer SQLi zu einer Manipulation von Traffic-Daten, treffen Führungspersonen, etwa in E-Commerce- oder auch Medien-Unternehmen, die falschen strategischen Entscheidungen. Dadurch können Injection-Angriffe für langanhaltende Schäden sorgen, die Unternehmen über Jahre hinweg aus der Bahn werfen.
Haben Cyberkriminelle Zugriff auch wertvolle Datensätze, macht das die betroffenen Unternehmen zudem erpressbar für hohe Lösegeldforderungen. Hinzu kommen der finanzielle Aufwand für die Beseitigung der Schäden sowie potenzielle Strafzahlungen. Denn wenn empfindliche Kundendaten durch eine Attacke in fremde Hände gelangen, drohen für die Verantwortlichen empfindliche Geldbußen und sogar Freiheitsstrafen. Das Strafmaß ergibt sich aus den geltenden regulatorischen Vorgaben für Datensicherheit und Datenschutz.
Nicht zu unterschätzen sind zudem die schweren Auswirkungen von SQLi-Angriffen auf das Image betroffener Firmen. Viele große Datenskandale gehen auf erfolgreiche Attacken dieser Art zurück. Erbeuten Kriminelle Kundendaten, kann dies das Vertrauen in das Unternehmen auf Jahre erschüttern.
Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.