Daten in Gefahr: Alles, was Sie über Data Injection wissen müssen
Was ist Data Injection?
Data oder auch Code Injection bezeichnet eine Maßnahme bei der ein Angreifer versucht, Code / Daten in ein bestehendes Programm oder eine Webanwendung einzuschleusen. Oftmals begünstigt durch schlechte Programmierung, erlauben es anfällige Anwendungen Eingaben an Stellen vorzunehmen, an denen ein Dritter keine Änderungen vornehmen sollen könnte.
Angriffstellen und Protokolle die gerne von Kriminellen für Code Injection genutzt werden
- HTML
- SQL
- XML
- LDAP
- Uvm.
Eine Spezialform der Code Injection ist die SQL-Injection. Hierbei versucht der Angreifer über Eingabe verschiedener Parameter und geschickt verschachtelter SQL Befehle, die Datenbank dazu zu bewegen, ihm Information und Datensätze zu liefern, die er eigentlich nicht zu Gesicht bekommen sollte.
Auch das löschen der Datenbank ist häufig ein Ziel des Angreifers, um den Betreiber der Website zu schaden. Hierbei setzt der Angreifer darauf, dass die Anwendung die Eingaben also den Input, welcher in der Datenbank gespeichert werden soll, nicht auf SQL-Steuerbefehle prüft. Anstelle einen Wert wie beispielsweise die E-Mail-Adresse bei einer Newsletter Anmeldung in die Datenbank zu schreiben, wird ein Befehl ausgeführt der alle gespeicherten E-Mail-Adressen ausgibt.