Die Hacker-Angriffstechnik SQL-Injection ist für 24 Prozent aller gehackten Websites im Internet verantwortlich. Damit liegt diese Angriffstechnik auf Platz 2.
Immer wieder landen große Datensätze an Kundendaten im Darknet und werden zum Verkauf angeboten.
Meist gelangen Hacker durch SQL-Injections an Deine sensiblen Daten. Eine SQL-Injection nutzt eine Sicherheitslücke, die bei schlampiger Progammierung entsteht. Deine in der Datenbank gespeicherte Datensätze (Passwörter etc.) lassen sich so vom Hacker abgreifen.
Die häufigste Form von SQL tritt auf, wenn ein Angreifer bösartigen SQL-Code in ein Feld auf der Webseite oder über die Adresszeile des Browsers eingibt und dieser Code ohne Überprüfung an die SQL-Datenbank gesendet wird. In diesem Fall gelingt es Angreifern, sich Zugriff auf die Datenbank zu verschaffen. Eine erfolgreiche SQL-Attacke kann vertrauliche Daten (wie zB dein Passwort) löschen, ändern oder dem Angreifer anzeigen.
SQL-Injections sind dann möglich, wenn Daten wie beispielsweise Benutzereingaben in den SQL-Interpreter gelangen. Denn Benutzereingaben können Zeichen enthalten, die für den SQL-Interpreter Sonderfunktion besitzen und so Einfluss von außen auf die ausgeführten Datenbankbefehle ermöglichen. Solche Metazeichen in SQL sind zum Beispiel der umgekehrte Schrägstrich (Backslash), das Anführungszeichen, der Apostroph und das Semikolon.
Das gemeinnützige Website-Sicherheitsprojekt „Open Web Application Security Project“ listet Injections als Top-2-Sicherheitsrisiko von Websites auf.
Structured Query Language (SQL) ist die Standard-Programmiersprache zum Abrufen und Aktualisieren von (relationalen) Datenbanken. Die Bezeichnung SQL wird mittlerweile als eigenständiger Name aufgefasst, leitet sich ursprünglich aber vom Vorgänger SEQUEL (Structured English Query Language) ab.
Samuel Wartmann ist Senior Softwareengineer und Ethical Hacker. Er ist Unternehmer und kann über 12 Jahre Berufserfahrung als Softwareentwickler vorweisen: Zudem ist Samuel auch als "Mister Automation" bekannt. Seine Motivation ist es das Sicherheitsbewusstsein im Internet für jedermann zu schärfen und komplexe IT-Sachverhalte einfach zu erklären.
Auf Instagram folgen:
https://www.instagram.com/mister_automation/
Quellen:
https://de.wikipedia.org/wiki/SQLhttps://de.wikipedia.org/wiki/SQL-Injectionhttps://www.infopoint-security.de/webseiten-und-webanwendungen-optimal-vor-hackerangriffen-schuetzen/a16626/https://owasp.org/www-community/attacks/SQL_Injectionhttps://sucuri.net/guides/owasp-top-10-security-vulnerabilities-2020/0:00 Intro
0:18 Begriffserklärung SQL-Injection
1:14 Ziel der Angriffstechnik / Ziel des Hackers
1:30 Wie ist eine SQL-Injection aufgebaut (Beispiel)
2:00 Über die Adresszeile des Browser das Passwort auslesen
2:20 Welche meiner Daten kann der Hacker damit auslesen?
3:30 Wie schütze ich mich als Websiten-Betreiber gegen diesen Angriff?
4:00 Wie können sich Programmierer gegen diesen Angriff schützen?
4:50 Kurzes Fazit
5:25 Welche weiteren Hacker-Angriffstechniken gibt es noch?
#hacker #sqlinjection #passworthacken
48 Comments