{"id":31455,"date":"2020-01-28T01:26:59","date_gmt":"2020-01-28T09:26:59","guid":{"rendered":"https:\/\/staging.kinsta.site\/?p=62827"},"modified":"2022-08-16T17:01:29","modified_gmt":"2022-08-16T16:01:29","slug":"sql-injection","status":"publish","type":"post","link":"https:\/\/staging.kinsta.site\/de\/blog\/sql-injection\/","title":{"rendered":"SQL Injection: Eine Anf\u00e4ngeranleitung f\u00fcr WordPress-Benutzer"},"content":{"rendered":"

SQL (Structured Query Language) ist eine Sprache, die es uns erlaubt, mit Datenbanken<\/a> zu interagieren. Moderne Webanwendungen verwenden Datenbanken, um Daten zu verwalten und dynamische Inhalte f\u00fcr die Leser anzuzeigen.<\/p>\n

SQL Injection oder SQLi ist ein Angriff auf eine Webanwendung, bei dem die Datenbank durch b\u00f6sartige SQL-Anweisungen kompromittiert wird.<\/p>\n

Da es sich um einen h\u00e4ufigen Angriff handelt, wollen wir versuchen, mehr dar\u00fcber zu erfahren, was es ist, wie es geschieht und wie man sich dagegen verteidigen kann.<\/p>\n

Bereit? Tauchen wir ein!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Was ist SQL Injection?<\/h2>\n

SQL Injection oder SQLi ist eine Art von Angriff auf eine Webanwendung, die es einem Angreifer erm\u00f6glicht, b\u00f6sartige SQL-Anweisungen in die Webanwendung einzuf\u00fcgen, wodurch er m\u00f6glicherweise Zugang zu sensiblen Daten in der Datenbank erh\u00e4lt oder diese Daten zerst\u00f6rt werden k\u00f6nnen. SQL Injection wurde erstmals 1998 von Jeff Forristal entdeckt.<\/p>\n

In den zwei Jahrzehnten seit seiner Entdeckung war die SQL Injection f\u00fcr Webentwickler<\/a> bei der Entwicklung von Anwendungen stets die oberste Priorit\u00e4t.<\/p>\n

Barclaycard sch\u00e4tzte 2012, dass 97% der Datenverletzungen mit einem SQL Injection-Angriff beginnen<\/a>. Eine SQL Injection ist auch heute noch weit verbreitet, und die Schwere von Injection-Angriffen in einer Webanwendung ist weithin anerkannt. Sie geh\u00f6rt zu den zehn kritischsten Sicherheitsrisiken f\u00fcr Webanwendungen<\/a> von OWASP.<\/p>\n

Wie funktioniert die SQL Injection-Schwachstelle?<\/h2>\n

Eine SQL Injection-Schwachstelle erm\u00f6glicht einem Angreifer den vollst\u00e4ndigen Zugriff auf die Datenbank deiner Anwendung durch b\u00f6sartige SQL-Anweisungen.<\/p>\n

In diesem Abschnitt zeigen wir ein Beispiel daf\u00fcr, wie eine verwundbare Anwendung aussieht.<\/p>\n

Stelle dir den Arbeitsablauf einer typischen Webanwendung vor, bei der Datenbankanforderungen durch Benutzereingaben erfolgen. Du nimmst die Benutzereingaben \u00fcber ein Formular, z.B. ein Anmeldeformular<\/a>, entgegen. Dann fragt man die Datenbank mit den vom Benutzer eingereichten Feldern ab, um sie zu authentifizieren. Die Struktur der Abfrage an die Datenbank ist ungef\u00e4hr so:<\/p>\n

select * from user_table\nwhere username = 'sdaityari'\nand password = 'mypassword';<\/code><\/pre>\n
Der Einfachheit halber nehmen wir an, dass du deine Passw\u00f6rter als Klartext speicherst. Es ist jedoch eine gute Praxis, die Passw\u00f6rter zu verstecken<\/a> und sie dann zu hashen. Wenn du den Benutzernamen und das Passwort aus dem Formular erhalten hast, kannst du die Abfrage in PHP wie folgt definieren:<\/p>\n
\/\/ Connect to SQL database\n$db_query = \"select * from user_table where\nusername = '\".$user.\"'\nAND password = '\".$password.\"';\";\n\/\/ Execute query\n<\/code><\/pre>\n
Wenn jemand den Wert „admin‘;-“ in das Feld f\u00fcr den Benutzernamen eingibt, sieht die resultierende SQL-Abfrage, die die Variable $db_query erzeugt, wie folgt aus:<\/p>\n
select * from user_table where\nusername = 'admin';--' and password = 'mypassword'<\/code><\/pre>\n
Was bewirkt diese Abfrage?<\/p>\n
Ein Kommentar in SQL beginnt mit doppelten Strichen (-). Die resultierende Abfrage filtert nur nach dem Benutzernamen, ohne das Passwort zu ber\u00fccksichtigen. Wenn es keine Sicherheitsvorkehrungen g\u00e4be, um dies zu vermeiden, w\u00fcrde man nur \u00fcber diesen Trick administrativen Zugriff auf die Webanwendung erhalten.<\/p>\n
Alternativ kann in diesem Beispiel auch ein boolescher Angriff verwendet werden, um Zugang zu erhalten. Wenn ein Angreifer „password‘ oder 1=1;-“ in das Passwortfeld eingibt, w\u00fcrde die resultierende Abfrage wie folgt aussehen:<\/p>\n
select * from user_table where\nusername = 'admin' and\npassword = 'password' or 1=1;--';\n<\/code><\/pre>\n
In diesem Fall w\u00fcrdest du selbst bei einem falschen Passwort in der Anwendung authentifiziert werden. Wenn die Ergebnisse der Datenbankabfrage auf der Webseite angezeigt werden, kann ein Angreifer den Befehl show tables verwenden, die Tabellen in der Datenbank anzeigen lassen und dann Tabellen selektiv fallen lassen, wenn er dies w\u00fcnscht.<\/p>\n
\"Eine
Eine Karikatur zur SQL Injection (Bildquelle XKCD<\/a>)<\/figcaption><\/figure>\n
Heldentaten einer Mutter, ein beliebter Comic von XKCD, zeigt das Gespr\u00e4ch einer Mutter mit der Schule ihres Sohnes, in dem sie gefragt wird, ob sie ihren Sohn wirklich \u201cRobert\u2019); DROP TABLE Students; \u2013\u201d genannt hat.<\/p>\n
Arten von SQL Injection<\/h2>\n
Da wir nun die Grundlagen einer SQL-Injection-Schwachstelle kennen, wollen wir die verschiedenen Arten von SQL-Injection-Angriffen und den Grund f\u00fcr jeden dieser Angriffe untersuchen.<\/p>\n
In-Band SQL-Injection<\/h3>\n
In-Band-SQL-Injection ist die einfachste Form der SQL-Injection. Bei diesem Verfahren kann der Angreifer den gleichen Kanal nutzen, um den b\u00f6sartigen SQL-Code in die Anwendung einzuf\u00fcgen und die Ergebnisse zu sammeln. Wir werden zwei Formen von In-Band-SQL-Injection-Angriffen diskutieren:<\/p>\n
Fehlerbasierter Angriff<\/h4>\n
Ein Angreifer verwendet in der Anfangsphase seines Angriffs eine fehlerbasierte SQL-Injektionstechnik. Die Idee hinter einer fehlerbasierten SQL-Injection ist es, weitere Informationen \u00fcber die Datenbankstruktur und die Tabellennamen zu erhalten, denen die Webanwendung folgt. So kann eine Fehlermeldung beispielsweise den in der Abfrage enthaltenen Tabellennamen und die Spaltennamen der Tabelle enthalten. Diese Daten k\u00f6nnen dann zur Erstellung neuer Angriffe verwendet werden.<\/p>\n
Unionsbasierter Angriff<\/h4>\n
Bei dieser Methode verwendet ein Angreifer den SQL-Union-Join, um die Ergebnisse aus einer anderen Tabelle anzuzeigen. Wenn sich ein Angreifer zum Beispiel auf einer Suchseite<\/a> befindet, kann er die Ergebnisse aus einer anderen Tabelle anh\u00e4ngen.<\/p>\n
select title, link from post_table\nwhere id < 10\nunion\nselect username, password\nfrom user_table; --;\n<\/code><\/pre>\n
Inferential SQL Injection (Blind SQL Injection)<\/h3>\n
Selbst wenn ein Angreifer einen Fehler in der SQL-Abfrage erzeugt, kann es vorkommen, dass die Antwort der Abfrage nicht direkt auf die Webseite \u00fcbertragen wird. In einem solchen Fall muss der Angreifer weitere Untersuchungen durchf\u00fchren.<\/p>\n
Bei dieser Form der SQL-Injektion sendet der Angreifer verschiedene Abfragen an die Datenbank, um zu beurteilen, wie die Anwendung diese Antworten analysiert. Eine inferentielle SQL-Injection wird manchmal auch als blinde SQL-Injection<\/strong> bezeichnet. Im Folgenden werden zwei Arten von inferentiellen SQL-Injections betrachtet: Boolesche SQL-Injection und zeitbasierte SQL-Injection.<\/p>\n
Boolescher Angriff<\/h4>\n
Wenn eine SQL-Abfrage zu einem Fehler f\u00fchrt, der nicht intern in der Anwendung behandelt wurde, kann die resultierende Webseite einen Fehler ausl\u00f6sen, eine leere Seite laden oder teilweise geladen werden. Bei einer booleschen SQL-Injection bewertet ein Angreifer, welche Teile der Eingabe eines Benutzers f\u00fcr SQL-Injections anf\u00e4llig sind, indem er zwei verschiedene Versionen einer booleschen Klausel durch die Eingabe ausprobiert:<\/p>\n