|
|
URL dieser Newsmeldung:
23.06.2005
About Security #11: SQL InjectionAb dieser Folge geht es in About Security um die Sicherheit von Webanwendungen. Zuerst erfahren Sie etwas über das Einschleusen von SQL-Code in Datenbankabfragen – die SQL Injection. Was ist SQL Injection?N E U ! Security
aktuell Die Structured Query Language (SQL) ist eine Abfragesprache für relationale Datenbanken. Viele Webanwendungen verwenden zur Speicherung von Informationen eine solche Datenbank. Unabhängig davon, ob es sich um einen Webshop mit einer Artikeldatenbank, ein Forensystem mit Benutzerdaten oder ein Content-Management-System mit Texten handelt, bieten diese meist eine oder mehrere Möglichkeiten für den Benutzer, um Daten aus der Datenbank abzufragen. Diese Abfragen werden intern in SQL formuliert. Dabei werden vorgegebene Teile mit den Benutzereingaben zu einer kompletten Abfrage kombiniert. Werden die vom Benutzer gelieferten Eingaben nicht ausreichend geprüft, kann ein Angreifer beliebige SQL-Befehle in die Abfragen einschleusen. Dieses Einschleusen von Code wird als SQL Injection bezeichnet. Einige BeispieleEin Forensystem speichert die Benutzerinformationen in der Tabelle Benutzer der Datenbank Forum. Die Tabelle hat die Spalten BenutzerNr, BenutzerName, RealName, Ort, Status und Passwort. Dabei soll Status die Werte normal für einfache Benutzer und admin für Benutzer mit Administratorrechten annehmen können. Der SQL-Befehl gibt die Einträge aus der Tabelle Benutzer aus, die in der Spalte Ort den Wert Berlin aufweisen. Um die Abfrage flexibler zu gestalten, wird statt des konstanten Werts meist eine Variable verwendet:
Solange würde zu folgendem SQL-Befehl führen: Das Semikolon ist ein Trennzeichen, die Zeichenfolge -- leitet einen Kommentar ein. Damit werden folgende SQL-Befehle ausgeführt: gibt wie gehabt die Einträge aus der Tabelle Benutzer aus, die in der Spalte Ort den Wert Berlin aufweisen. löscht die Tabelle Benutzer, sofern die Webanwendung die notwendigen Rechte dazu hat. sorgt dafür, dass das letzte Quote-Zeichen ignoriert wird und keinen Fehler verursacht. Beim Aufruf mit der Eingabe ergeben sich folgende Befehle:  Damit kann sich der Angreifer Administratorrechte für das Forensystem verschaffen. Voraussetzung dafür ist, dass er Kenntnisse über die Datenbankstruktur besitzt. Bei Open-Source-Software kann er diese im Sourcecode nachlesen, bei Closed-Source-Software kann er selbst provozierte Fehlermeldungen ausnutzen, um sich die nötigen Informationen zu verschaffen. Mit der Eingabe erhält man Damit würde die gesamte Tabelle Benutzer ausgegeben. Auch der direkte Aufruf von Systembefehlen ist möglich. Für den MS-SQL-Server unter Windows 2000 würde die Eingabe zur Abfrage
führen. Der MS-SQL-Server erkennt den hinteren Teil des Befehls als
Extended Stored Procedure (ESP) und führt sie auf dem Server aus. Die
Funktion
Um Benutzername und Passwort beim Einloggen zu prüfen, könnte
folgende Abfrage mit den Benutzereingaben Um sich als beliebiger Benutzer anzumelden, kann ein Angreifer irgendeinen Benutzernamen, im Beispiel bob, und das Passwort eingeben. Dies ergibt Statt nach Benutzernamen und passendem Passwort sucht diese Abfrage nur nach dem Benutzernamen bob. Existiert dieser Benutzername, ist der Angreifer danach als bob angemeldet. Dies ist nur eine kleine Auswahl möglicher Angriffe über SQL-Injection. Wie Sie sehen, kann eine kleine Nachlässigkeit bei der Prüfung von Benutzereingaben unter Umständen schwerwiegende Folgen haben. In der nächsten Folge erfahren Sie, wie Sie SQL Injection verhindern können. Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen! About Security – Übersicht zum aktuellen Thema "Sichere Webanwendungen"
|
||
|
