SQL INJECTION

DER NACHFOLGENDE ARTIKEL DIENT NUR ZU DEMONSTRATIONSZWECKEN!

KKTVCAM ÜBERNIMMT KEINE HAFTUNG FÜR ALLFÄLLIGE PERSONEN ODER MATERIALSCHÄDEN! 

Als SQL Injection versteht man die Ausnutzung einer Sicherheitslücke, welche Dritten den Zugriff auf SQL Datenbanken erlaubt.

Bei einer SQL Injection wird der Befehl (der wie immer hinter dem ? steht) verändert!

Die meisten Hacker tun dies, indem sie sich zuerst einen Benutzeraccount erstellen und dann wenn der Server die Parameter bereits überprüft hat und den Nutzer als User anerkannt hat, die Parameter zu ihren Gunsten verändern.

BSP:

?ID=42

Der Hacker ändert den Inhalt des Befehls so, dass er den Wert mit der ID42 verändern kann: 

UPDATE+ID=43+SET+TYPE="admin"+WHERE+IDS=12

Bei diesem Beispiel wird der Wert von der ID 12 zur ID 42 integriert.

BSP FÜR EINE INFORMATION DIE ÜBERTRAGEN WIRD:

https://www.facebook.com/?stype=lo&jlou=AffUs1HhAitm7nZPk

Der Parameter stype sendet die im Login Formular angegeben Daten, zur Überprüfung an die SQL Datenbank, dort wird überprüft ob der Nutzer vorhanden ist.

Dabei nutzt Facebook eine sehr clevere Methode, um SQL Injections zu nutzen:

Sie verändern die Art wie die Daten übertragen werden ständig.

Die du im Link sehen kannst, werden die Informationen verschlüsselt übertragen, die Verschlüsselung wird dabei aber bei jedem Login geändert!

DATEN AUSSPÄHEN:

Das Problem hierbei ist, dass der WebMaster nichts davon mitbekommt oder erst davon erfährt, wenn es bereits zu spät ist.

42+UNION+SELECT+login,+password,+'x'+FROM+user

 

42 steht für das betreffende Datenfeld.

Dabei erhält der Hacker alle Daten die sich in dem betreffenden Feld befinden!

WIE DU DICH SCHÜTZEN KANNST:

1.Nutze eine spezielle Struktur bei der Übertragung der Daten.

Denn ein Hacker kann eine SQL Injection nur erfolgreich durchführen, wenn er weiss wie die Daten strukturiert sind.

2.Füge unnütze Daten hinzu, welche aber überprüft werden und wenn der Hacker diese Daten verändert, der gesamte Prozess gestoppt wird.

3.Nutze immer die neuste MySQL Version.

4.Wenn sich deine Daten-Sätze nicht sehr häufig verändern, kannst du folgendes machen:

Halte eine Update Datei bereit die du täglich neu auf die Datenbank lädst.

Bevor du das machst solltest du aber alle in der Datenbank gespeicherten Daten löschen!

5.Nutze keine Standard Variablen wie: $benutzername und $passwort.

Du hast eine Frage oder du benötigst Hilfe?

Dann drücke hier um zum Support-Chat zu gelangen!

LAST UPDATE: SAMSTAG 3.12.2016

kostenlos anrufen
powered by
branchen-info.net

Sweet24.de - PB

KONTAKT

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.


*: Bedeutet, dass KKTVCAM das Produkt/die Seite getestet hat und nun Affiliate der betreffenden Firma ist.

Please enable / Bitte aktiviere JavaScript!
Veuillez activer / Por favor activa el Javascript![ ? ]

Made with ♥ in Bern (Switzerland)!

KKTVCAM ÜBERNIMMT KEINE HAFTUNG FÜR ALLE ANGABEN AUF DIESER SEITE.