G 5.131 SQL-Injection

Mit SQL-Injection wird das Einschleusen (Injizieren) schädlicher oder unerwünschter Datenbankbefehle in die Datenbankabfragen einer Applikation bezeichnet. Ermöglicht wird diese Technik durch eine unzureichende Prüfung bzw. Maskierung der Eingaben innerhalb der Applikation. Die in Eingabefelder oder Parameter der Applikation eingetragenen Daten werden benutzt, um dynamisch Anfragen an die dahinterliegende Datenbank zu generieren. Ein Angreifer verwendet bestimmte Sonderzeichen in seinen Eingaben, um die dynamisch erzeugte Datenbankanfrage zu manipulieren und so seine eigenen Befehle an die Datenbank zu schicken.

Dieses Vorgehen eröffnet einem Angreifer vielfältige Möglichkeiten:

Die Gefährdung richtet sich grundsätzlich sowohl gegen Web-Applikationen als auch gegen eigenständige Applikationen. Web-Applikationen sind hier jedoch besonders betroffen, da sie häufig nicht von einer geschlossenen Benutzergruppe verwendet werden. Dadurch erhöht sich die Anzahl der potentiellen Angreifer. Außerdem bleibt der Angreifer anonym, da er in keiner lokalen Benutzerverwaltung registriert ist.