Methoden zur Website Infiltrierung - SQL-Injection

Benutzerbewertung: / 2
SchwachPerfekt 

Geschrieben von: Administrator | 27. April 2010
Posted in Tipps und Tricks - Webmaster

Die Methoden

Wer die Methoden der Angreifer kennt, kann sich besser schützen.
Deshalb erläutere ich jetzt einige der gebräuchlichsten Methoden.

SQL-Injection

Wie vorher gesagt, verwenden viele Webseiten zur Seitengenerierung PHP und MySQL.
Bei einer SQL-Injection versucht der Angreifer, über Sicherheitslöscher in der Anwendung, die den Zugriff auf die Datenbank bereitstellt, über eigene Datenbankbefehle entweder die Datensätze zu manipulieren oder durch Kontrolle über den Server zu erlangen.
Dabei bedient sich der Angreifer Schwächen der Scripsprache PHP sowie Sicherheitslücken des jeweiligen Scriptes.
Ein Beispiel:

//Login
$_SESSION['username'] = $mysql_row['username'];
//...
//Seite2
$sql = "SELECT * FROM table WHERE username = '".$_SESSION['username']."'";

Wenn ich mich nun mit dem Username " abc' OR '1'='1" registiere, sieht die SQL Anweisung auf einmal so aus:
SELECT * FROM table WHERE username = 'abc' OR '1'='1'

Zack, hat man eine verwundbare Stelle, die man nutzen kann.

Kommentar schreiben

Werbung ist unerwünscht!
Bitte beachtet die Nutzungsbedingungen
Zu beachten sind auch diese Regeln.
Wer sich nicht an diese Regeln hält, bekommt das Schreibrecht für eine gewisse Zeit entzogen.
Dauerndes Verstoßen gegen die Regeln zieht eine Sperrung des Zugangs nach sich.

Name (Pflichtfeld)

E-Mail (Pflichtfeld)

Webseite

Benachrichtige mich über nachfolgende Kommentare

Aktualisieren

Senden

Abbrechen

JComments