SQL Injection: die meistverbreitete Schwachstelle der letzten 10 Jahre

Vor 10 Jahren wurde die erste Forschung zu SQL Injection veröffentlicht. Ein Jahrzehnt später ist diese Schwachstelle immer noch eine der am weitesten verbreiteten: eine Gefahr für Unternehmen und Netzwerke.

Was ist SQL Injection?

SQL Injection ist die am häufigsten ausgenutzte Schwachstelle in Webanwendungen, die relationale Datenbanken verwenden. Ein Angreifer kann der Datenbank beliebige SQL-Befehle senden, die vom Server ausgeführt werden, wodurch die Daten Risiken ausgesetzt werden, die man sich leicht vorstellen kann (unbefugter Zugriff, Verlust aller Daten usw.).

Ein SQL-Injection-Angriff kann auftreten, wenn eine Webanwendung vom Nutzer bereitgestellte Daten ohne angemessene Validierung oder Kodierung verwendet.

Angreifer liefern gezielte Eingabedaten, um den SQL-Interpreter zu täuschen und Befehle auszuführen, die im ursprünglichen Code der Anwendung nicht vorhanden sind. Der Interpreter kann bösartigen Code nicht von gutem Code unterscheiden und führt beides problemlos aus.

Wenn der Angriff erfolgreich ist, kann der Angreifer die in der Datenbank gespeicherten Daten erstellen, lesen, aktualisieren oder ändern. SQL Injection könnte Zugriff auf sensible Informationen wie Passwörter, Sozialversicherungsnummern, Kundendaten und Produktionsdaten, Kreditkarten oder andere Finanzdaten ermöglichen.

Wann entstand SQL Injection?

Der Erfinder von SQL Injection ist wahrscheinlich Rain Forest Puppy, ein IT-Sicherheitsexperte, der die Angriffstechnik erstmals 1998 in einem Artikel auf Phrack beschrieb: NT Web Technology Vulnerabilities (Hinweis: Der Artikel ist sehr technisch).

Angriffe auf Basis von SQL Injection haben verschiedenste IT-Systeme von Unternehmen und Organisationen weltweit verletzt. Das ist in 10 Jahren passiert:

• Februar 1998: Rain Forest Puppy veröffentlicht die ersten Dokumente über SQL Injection;
• März 2002: Das Modeunternehmen Guess wird kompromittiert und 200.000 Kreditkarten sind gefährdet;
• Juli 2005: Das IT-System der University of Southern California weist verwundbare Anwendungen auf;
• Dezember 2006: Hacker erhalten Zugriff auf 800.000 Studentendatensätze der UCLA (University of California, Los Angeles);
• Juni 2007: Die Website von Microsoft UK wird per SQL Injection verändert und gelöscht;
• April 2008: 500.000 Websites sind dank SQL-Injection-Schwachstellen mit Malware infiziert;
• Jahr 2008: Das Heartland Payment System wird kompromittiert. 130 Millionen Kreditkarten werden gestohlen;
• August 2010: Eine halbe Million Websites werden von automatisierten SQL-Injection-Angriffen getroffen;
• November 2010: Die Website der Royal Navy wird angegriffen;
• März 2011: Die E-Mail-Liste der Expedia-Kunden wird gestohlen;
• März 2011: Oracle übernimmt MySQL, oracle.com wird über SQL Injection kompromittiert;
• April 2011: Hunderttausende Websites werden massenhaft angegriffen;
• April 2011: Der Hersteller von Web Application Firewalls Barracuda Network wird kompromittiert;
• Mai 2011: Die Certification Authority Comodo (fähig, SSL-Zertifikate für jede Website im Internet auszustellen) wird über einen Partner in Brasilien kompromittiert;
• Mai 2011: Sechs Websites von Sony werden kompromittiert: Sony BGM Greece, Sony Music Japan, Sony Canada, Sony Pictures France, Sony Pictures Russia, Sony Music Portugal.
• Juni 2011: Kompromittiert werden: PBS, die CanadianConservative Party, die Website von CNN und das Videospielunternehmen Sega.

Ein böswilliger Angreifer hat alle Werkzeuge, um die Schwachstellen Ihrer Webanwendung mit SQL-Injection-Angriffen auszunutzen. Deshalb müssen Anwendungen sicher entwickelt und Sicherheitsprüfungen mit verlässlicher Periodizität durchgeführt werden.

Wenn Sie glauben, dass Ihr System gefährdet sein könnte, lassen Sie die IT-Systeme Ihres Unternehmens von IT-Security-Profis bewerten: Easy Audit hilft Ihnen, die Schwachstellen Ihrer Systeme zu identifizieren. Alles garantiert durch das Siegel Easy Audit Checked, eine Garantie für Ihre Kunden.