SQL-Injection: Wie es funktioniert und wie Sie es verhindern können

Wenn sich bei der Programmierung deiner Website oder Anwendung nur ein paar Schwachstellen eingeschlichen haben, kann sich ein Hacker Zugang zu sämtlichen Daten verschaffen, die nie für die Öffentlichkeit bestimmt waren.

Was ist also eine SQL-Injection und wie kann man sie verhindern?

Was bedeutet SQL?

SQL ist eine Programmiersprache, die hauptsächlich verwendet wird, um Informationen aus Online-Datenbanken abzurufen. Sie ist intuitiv und nutzt einfache englische Wörter als Befehle, was den Umgang mit ihr sehr einfach gestaltet.

Stellen Sie sich zum Beispiel vor, ein Kunde gibt beim Online-Shopping das Wort „Schuhe“ in die Suchleiste eines Shops ein. Sobald er die Suchfunktion auslöst, läuft hinter den Kulissen ein einfacher Prozess ab.

Die Website verwendet dabei ein Datenbankmanagementsystem (DBMS), das wiederum eine Form von SQL ausführt. Wenn der Kunde nach „Schuhen“ sucht, wird mit dieser Sprache eine Zeile Code erstellt. Das ist die SQL-Abfrage.

Diese Abfrage enthält bestimmte Spezifikationen, z. B. wo gesucht und was abgerufen werden soll. Dies sollte wie folgt aussehen:

SELECT name, description FROM products WHERE category = “Schuhe”

Wenn diese Abfrage die Datenbank erreicht, liest das DBMS die SQL-Abfrage und weiß, dass es in der Tabelle „products“ nachsehen muss. Dann kann es die Bezeichnungen und Beschreibungen der Elemente in der Kategorie „Schuhe“ abrufen und diese Daten an den Kunden zurücksenden. Wenn es zehn Elemente findet, gibt es zehn Bezeichnungen und Beschreibungen aus.

Es ist also ein ganz einfacher Vorgang. Und hier fangen die Probleme an.

Was ist eine SQL-Injection?

Denn um eine Injection durchzuführen, versucht ein Hacker nun, zusätzlichen Code in die SQL-Zeile zu schmuggeln. Dies wird als Injection bezeichnet.

Natürlich funktioniert das nicht immer. Das DBMS der Website liest einige Zeichen als Coding-Befehle (z. B. SELECT) und andere als normale Wörter und Zeichen (in diesem Fall das Wort „Schuhe“).

Wenn eine Website korrekt programmiert wurde, führt die Suche nach einem Coding-Befehl nicht zu einer Injection. Stattdessen liest das System den Befehl als eine Reihe von Zeichen, die es nicht erkennt, und gibt eine Nachricht aus, in der beispielsweise „keine Elemente gefunden“ steht.

Wenn das System aber nicht geschützt ist, werden die injizierten Zeichen als authentischer SQL-Befehl gelesen. Hier fängt das Problem an.

Anstatt nach dem Schlüsselwort „Schuhe“ könnte der Hacker nach bestimmten SQL-Befehlen suchen. Wenn die Code-Zeile erstellt und an die Datenbank gesendet wird, liest das DBMS das gesuchte Schlüsselwort als Befehl, den es entsprechend ausführt.

Der Schaden

Mithilfe einer Technik namens „blinde SQL-Injection“ kann ein Hacker schnell genau herausfinden, welches DBMS hinter den Kulissen ausgeführt wird. Mit diesem Wissen kann er auch die passende SQL-Sprache verwenden.

Wenn er nach den richtigen Coding-Befehlen sucht, kann er das DBMS dazu zwingen, eine vollständige Liste sämtlicher enthaltenen Datentabellen auszugeben. Mit dieser Erkenntnis kann er dann auf jede Tabelle zugreifen und sich die gewünschten Informationen verschaffen. Wirklich schwerwiegende Probleme können entstehen, wenn er dabei eine Tabelle mit der Bezeichnung „Benutzer“ findet.

Mithilfe des Coding-Befehls UNION kann jemand zu seiner ursprünglichen Abfrage eine weitere hinzufügen. Die Ergebnisse dieser Unterabfrage werden unter den Ergebnissen der primären Abfrage angezeigt.

Ein Hacker könnte etwa Folgendes in der Suchleiste eingeben:

“Schuhe” UNION (SELECT username, password FROM users);--"

Hinter den Kulissen würde ein SQL-String generiert, der wie folgt aussehen könnte:

SELECT name, description FROM products WHERE category = “Schuhe” UNION (SELECT username, password FROM users);--

Jetzt kann der Hacker nicht nur die Ergebnisse für das Schlüsselwort „Schuhe“ einsehen, sondern auch alle Benutzernamen und Passwörter aus der Tabelle „user“.

Die Passwörter sind zwar wahrscheinlich durch einen Hashing-Algorithmus zusätzlich geschützt; doch auch diesen dürfte ein Hacker relativ schnell knacken. Wenn er in Erfahrung bringen kann, welche Benutzernamen den Administratoren zuzuordnen sind, kann er mithilfe von Brute-Force-Software schnell in die relevanten Konten eindringen und so einen Administrator-Zugang zur gesamten Anwendung erhalten.

SQL-Injection-Methoden

Um bessere Sicherheitsmaßnahmen ergreifen zu können, müssen wir uns zunächst mit den verschiedenen Methoden der SQL-Injection (zu Deutsch: SQL-Einschleusung) befassen und ein besseres Verständnis für diese Form der Cyberbedrohung entwickeln

1. Klassische SQL-Injection

Die klassische SQL-Injection, auch als In-band-Angriff bezeichnet, ist die am häufigsten angewandte Form dieses Cyberangriffs. Hier wird ein schadhafter SQL-Code über Benutzereingabefelder eingeschleust. Angreifer verschaffen sich dadurch Zugang auf eine Datenbank mit dem Ziel, diese zu manipulieren, zu löschen oder sogar administrative Befehle auszuführen. Dieser Bedrohung sollte man sich unbedingt bewusst sein, um Präventivmaßnahmen ergreifen zu können.

2. Inferentielle SQL-Injection

Bei inferentiellen bzw. blinden SQL-Injection-Angriffen sind die Angreifer – wie der Name schon nahelegt – gezwungen, blind zu agieren. Sie verfügen nicht über einen direkten Zugang zur Ausgabe der Datenbank. Meistens stützen sich Angreifer, die einen blinden SQL-Angriff durchführen, auf eine Reihe von richtigen und falschen Abfragen und sammeln so Informationen. Diese Vorgehensweise ermöglicht es den Angreifern, die Datenbankstruktur und den Inhalt Stück für Stück zu entschlüsseln.

3. Fehlerbasierte SQL-Injection

Bei der fehlerbasierten SQL-Injection werden die Fehlermeldungen einer Datenbank herangezogen, um Zugriff auf sensible Daten zu erhalten. Angreifer, die solche Attacken durchführen, stellen absichtlich fehlerhafte SQL-Anfragen, die die Datenbank veranlassen, Fehlermeldungen zurückzugeben, die wertvolle Informationen enthalten. Internetbetrüger analysieren diese Meldungen eingehend, um Aufbau und Struktur der Datenbank kennenzulernen und die Schwachstellen des Systems zu identifizieren.

4. Zeitbasierte SQL-Injection

Bei zeitbasierten SQL-Injections handelt es sich um eine besondere Form des blinden SQL-Injection-Angriffs. Angreifer, die zeitbasierte blinde SQL-Angriffe durchführen, konzentrieren sich auf die Reaktionszeit der Datenbank und verschaffen sich dadurch Zugriff auf Informationen. Über SQL-Abfragen, deren Antworten verzögert zurückgegeben werden, können die Angreifer anhand der Zeit, die bis zum Erhalt der Antwort vergeht, spezifische Informationen über die Datenbank sammeln.

5. Out-of-Band SQL-Injection

Bei Out-of-Band SQL-Injections werden keine direkten SQL-Abfragen gesendet, sondern Seitenkanäle für das Versenden und Empfangen von Daten genutzt. Mit dieser eher seltenen, aber wirksamen Angriffsmethode umgehen Angreifer gewisse Sicherheitsmaßnahmen, wie z. B. Firewalls und Angriffserkennungssysteme, um ihre böswilligen Absichten in die Tat umzusetzen.

Symptome eines SQL-Injection-Angriffs

Ein SQL-Injection-Angriff ist nicht immer leicht zu erkennen, da er nicht immer offensichtliche Anzeichen für eine Datenpanne aufweist. Es gibt jedoch oft ein paar Warnsignale, an denen Sie erkennen können, dass etwas nicht stimmt. Dazu zählen:

• Ungewöhnliche Pop-ups und Fehlermeldungen.

• Werbung, die auf verdächtige, potenziell schädliche Websites weiterleitet.

• Sie werden in sehr kurzer Zeit mit einer Flut von Anfragen (z. B. einer großen Anzahl von E-Mails über Ihr Kontaktformular) bombardiert.

Welche Risiken sind mit einer SQL-Injection verbunden?

Von SQL-Injection-Angriffen gehen vielfältige Bedrohungen für die Sicherheit des betroffenen Unternehmens aus. Sobald Cyberkriminelle erfolgreich eine SQL-Injection-Schwachstelle ausnutzen können, ist ihnen Folgendes möglich:

• Sie können Inhalte in der Datenbank hinzufügen, entfernen oder bearbeiten.

• Sie können neue Dateien in die Datenbank schreiben.

• Sie können den Quellcode des Datenbankservers einsehen.

Solche Zugriffsmöglichkeiten können sogar zu einer vollständigen Übernahme der Datenbanken und des Webservers führen, was – wie Sie sich vorstellen können – zu einer Katastrophe führen kann.

So können Sie eine SQL-Injection verhindern

Eine erfolgreiche SQL-Injection kann enorme Probleme nach sich ziehen. Ein Hacker kann Passwörter und Zahlungsinformationen stehlen, Benutzerdaten online verbreiten und wichtige Daten löschen. Solche Ereignisse können das Vertrauen der Verbraucher unwiderruflich zerstören. Wie können Sie das verhindern?

• Eingabevalidierung

  Wenn Sie in die Backend-Codierung Ihrer Website eine Eingabewertprüfung integrieren, können Sie das Risiko eines erfolgreichen Angriffs jedoch erheblich reduzieren. Sie könnten eine Liste mit zulässigen Zeichen erstellen und das Datenbankmanagementsystem (DBMS) so programmieren, dass es erkennt, wenn ein Schlüsselwort nicht aufgeführt ist. „Sucht“ ein Hacker dann nach einem Programmierbefehl, gleicht Ihr System diesen mit der Liste ab. Wenn es keine Übereinstimmung findet, wird der Befehl nicht ausgeführt.

• Prepared Statements

  Die beste Strategie besteht wahrscheinlich im Einpflegen von Prepared Statements. Eine gefährdete Website erstellt jedes Mal, wenn der Hacker eine Suche durchführt, einen neuen SQL-String. Bei einem Prepared Statement ist dies jedoch nicht der Fall. Wenn Sie das Backend Ihrer Website programmieren, erstellen Sie Ihre SQL-Vorlagen im Voraus mit einem Fragezeichen anstelle des Schlüsselworts. Das DBMS kann so programmiert werden, dass es dieses Fragezeichen als beliebige Daten in der Suchleiste liest; die Abfrage selbst ist jedoch vorgefertigt. Dadurch wird das Risiko, dass ein gefährlicher SQL-Befehl die Datenbank erreicht, drastisch reduziert.

• Datentrennung

  Je größer die Trennung Ihrer Daten ist, desto weniger kann ein Hacker bei einem Angriff entwenden. Im bereits erwähnten Beispiel des Online-Shops wird das Problem der SQL-Schwachstelle durch die Tatsache, dass Benutzerdaten in derselben Datenbank wie die grundlegenden Produktlisten gespeichert werden, noch erheblich verschärft. Der Schaden, den ein SQL-Angriff anrichten kann, kann minimiert werden, wenn verschiedene Arten von Informationen in separaten Datenbanken und Servern gespeichert werden.

• Setzen Sie stets die neuesten Technologien ein

  Verwenden Sie die neueste Version der Entwicklungstools, um maximale Sicherheit zu gewährleisten. Veraltete Technologien zur Web-Entwicklung schützen möglicherweise nicht vor SQL-Injections oder weisen vielleicht Schwachstellen auf, die von böswilligen Akteuren ausgenutzt werden können. Aktualisieren Sie unbedingt die Softwarekomponenten, die Sie möglicherweise bei der Entwicklung verwenden, da Updates Fehler und potenzielle Sicherheitsprobleme beheben können.

Die besten Tools zum Erkennen von SQL-Injection (SQLi)

Bei so vielen Tools zur Erkennung von SQL-Injections ist es nicht einfach, herauszufinden, welche wirklich empfehlenswert sind. Wie bei jeder Technologie gibt es auch hier Tools, die besser sind als andere. Was also zeichnet die besten aus? Schauen wir uns mal einige der besten SQL-Injection-Tools im Vergleich an.

• SQLMap: Ein Open-Source-Tool für Penetrationstests, das zur Erkennung von SQL-Injection-Schwachstellen in Webanwendungen eingesetzt wird. Es ist bei Sicherheitsexperten weit verbreitet, aufgrund seiner hohen Flexibilität und der Unterstützung verschiedener Datenbankverwaltungssysteme, darunter Microsoft SQL Server und Oracle.

• jSQL Injection: Ein weiteres beliebtes Open-Source-Tool zum Testen von Web-Anwendungen. Das Tool ermöglicht es IT-Fachleuten und ethischen Hackern, Angriffe zu simulieren, Schwachstellen zu identifizieren und die potenziellen Auswirkungen dieser Schwachstellen zu verstehen. Dadurch trägt es zur Verbesserung der Cybersicherheit bei.

• Imperva: Das von der Firma Imperva angebotene Tool Imperva SQL Injection Protection hilft Unternehmen, ihre Datenbanken vor SQL-Injection-Angriffen zu schützen. Es bietet Echtzeitüberwachung und blockiert feindliche Aktivitäten, wobei es detaillierte Einblicke und Berichte über alle Angriffsversuche liefert. So können Organisationen SQL-Risiken schnell erkennen und beheben.

• AppSpider: AppSpider ist ein zuverlässiges Tool zum Testen der Sicherheit von Webanwendungen, zu dessen Funktionen auch die Erkennung von SQL-Injection gehört. Mit seiner intuitiven Benutzeroberfläche können Benutzer mit AppSpider Schwachstellen effektiv verwalten und überwachen und detaillierte Berichte und Empfehlungen zur Fehlerbehebung erhalten.

• Acunetix: Ein weiteres beliebtes SQL-Injection-Tool, mit dem Organisationen ihre Webanwendungen prüfen und SQL-Injection-Schwachstellen identifizieren können. Seine umfassenden Scanfunktionen (teilweise durch maschinelles Lernen unterstützt) und die benutzerfreundliche Oberfläche machen es zu einer unverzichtbaren Lösung für zuverlässige Internetsicherheit.

Zusätzliche Sicherheitsebenen für Ihr Unternehmen

SQL-Injection-Angriffe sind definitiv eine große Bedrohung für die Sicherheit im IT-Bereich, aber nur ein Teil eines viel größeren Cybersecurity-Puzzles. Und obwohl SQL-Injection-Tools hervorragend geeignet sind, SQL-Schwachstellen zu identifizieren und zu beheben, lösen sie nur dieses spezielle Problem.

Was ist also mit anderen Problemen wie schwachen Passwörtern oder Problemen bei der Verwaltung des Benutzerzugriffs? SQL-Injection-Tools erkennen diese nicht. Zur Entwicklung einer soliden Sicherheitsstrategie benötigen Sie entweder verschiedene Tools für jedes Problem oder ein Tool, das mehrere Bedrohungen gleichzeitig bewältigen kann.

Genau hier kommt NordPass ins Spiel. NordPass ist allgemein als End-to-End-verschlüsselter Passwort-Manager anerkannt, kann aber noch mehr, als nur für starke und sichere Anmeldedaten bei Ihren Mitarbeitern zu sorgen. Ihr Unternehmen kann damit den Zugriff auf sensible Ressourcen verwalten und überwachen, ob Unternehmensdaten durch eine Datenpanne in die falschen Hände gelangt sind.

NordPass stellt Ihnen zahlreiche Funktionen zur Verfügung, mit denen Sie verschiedene Herausforderungen im Bereich Cybersicherheit meistern können. Das müssen Sie uns aber nicht einfach glauben, davon können Sie sich selbst überzeugen. Starten Sie jetzt mit mit einer kostenlose 14-tägigen Testversion und überzeugen Sie sich selbst, wie NordPass die Cybersicherheit in Ihrer Organisation verbessern kann.