Der Angriffsvektor “SQL-Injection” ist seit Jahren die Nummer 1 bei den OWASP Top 10, und aus meiner Sicht ist das auch absolut berechtigt.
Was ist eine SQL-Injection?
Kurz gesagt, ermöglicht man einem Angreifer beliebige SQL-Kommandos auszuführen. Die Konsequenz: der Angreifern kann beliebige Daten aus der Datenbank abfragen (z. B. Passwörter), Daten in der Datenbank manipulieren oder die Struktur der Datenbank zu ändern bzw. Daten zu löschen.
Technisch gesehen wird das eigentlich SQL-Kommando, das von der Applikation ausgeführt wird, so manipuliert, dass auf Daten zugegriffen werden kann, auf ein “normaler” Benutzer keinen Zugriff haben sollte.
Eine detaillierte Beschreibung kann auf der Seite der OWASP finden. Continue reading “SQL Injection”