So gut wie jede halbwegs anspruchsvolle Webanwendung nutzt heutzutage in
irgendeiner Weise eine Datenbank, in vielen Fällen ist dies Oracle. Die
Datenbank kann leicht zum Einfallstor für Datendiebstahl oder
Datenmanipulation werden:
Anwendungsentwicklern unterlaufen bei der Programmierung und Wartung von
hinreichend komplexen Systemen zwangsläufig handwerkliche Fehler. Sollten
entsprechende sicherheitskritische Fehler in einer Webanwendung zu finden
sein, so ist der Missbrauch von wertvollen und vertraulichen Unternehmens-
und Kundendaten wie z.B. Kreditkartennummern, Namen, postalische Adressen,
E-Mail-Adressen, oder sonstigen personenbezogenen oder datenschutzrechtlich
relevanten Daten nur noch eine Frage der Zeit.
Oft genügt eine einzige Schwachstelle, um den Datendieben freien Zugang zu
gewähren. Hierbei ist es nahezu gleichgültig, ob die Datenbank und die
darunter liegenden Server fehlerfrei und sicher konfiguriert sind, ein
erfolgreicher Angriff wird durch die Art der programmatischen Umsetzung der
Anwendung ermöglicht.
In diesem Vortrag erfahren Sie die wichtigsten Grundlagen der größten
Gefahren für die Vertraulichkeit, die Integrität und die Verfügbarkeit Ihrer
Daten durch Injection-Angriffe über fehlerhafte Webanwendungen. Wir zeigen
Ihnen, warum auch so verbreitete Schwachstellen wie HTML-Injection und
Cross-Site Scripting (XSS) ein Datenbank-Thema sind. Im Folgenden schlagen
wir den Bogen von der "normalen" und der Blind SQL-Injection über die
Advanced SQL-Injection bis hin zur ORM-Injection, die es auch ermöglicht,
moderne O/R-Mapper aufs Kreuz zu legen. | 