Buchbesprechung

SQL Hacking

Das Storage-Management und die Virtualisierung der Speicherumgebung stehen im Mittelpunkt der November-Ausgabe des IT-Administrator. Denn längst sind die ... (mehr)

So populär SQL-Datenbanken sind, lassen sich ebendiese Datenbanken von Angreifern aus dem Tritt bringen, mit unschönen Folgen. So ist es möglich, an vertrauliche Informationen zu gelangen oder gar Inhalte zu manipulieren. SQL-Injections nennt sich die dahinterliegende Angriffstechnik. Ein ganzes Autorenteam, bestehend aus sage und schreibe elf Experten, beleuchtet unter Leitung von Justin Clarke im knapp 700-seitigen Buch "SQL Hacking" die Sicherheit von SQL-Datenbanken. Dabei beschreiben sie nicht nur, wie Angreifer vorgehen, sondern zeigen auch praxisnahe Wege auf, um Lücken zu schließen – für Webprogrammierer wie für Admins.

Den Anfang macht die Frage, was SQL-Injections überhaupt sind und wie sie sich auf Webanwendungen samt dahinterliegenden Datenbanken auswirken. Einfach gehaltene Code-Beispiele verdeutlichen die Theorie, die sogar zum Ausprobieren einladen – natürlich nur gegen den eigenen SQL-Server. Nach dem Aufstöbern von Schwachstellen folgt das Schließen der Lücken. Kapitel 3 richtet sich hierfür an Programmierer und erläutert, wie sich Quellcode auf Anfälligkeiten für SQL-Injections untersuchen lässt. Auch erlaubt nicht jede Organisation, Attacken auf die eigene Produktivdatenbank zu fahren. Der Fokus liegt dabei auf Schwachstellen, die sich über Daten aus nicht vertrauenswürdigen Quellen – also von außen – ausnutzen lassen. Glücklicherweise behandeln die Autoren nicht nur die statische, sondern auch die automatisierte Codeanalyse.

Sind Lücken aufgetaucht, geht es in den nachfolgenden Kapiteln ans Eingemachte: Dem zielgerichteten Ausnutzen. Den Anfang macht das Ergattern von Informationen zum Datenbanksystem, gefolgt von Rechteerhöhungen und dem Stehlen von Passwörtern. Auch Angriffe auf das zugrundeliegende Betriebssystem bleiben nicht aus. Das letzte Drittel des Buchs zeigt schließlich mögliche Schutzmaßnahmen, sowohl auf Codeebene als auch auf Plattformebene. Letzteres ist besonders für

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Linux Mint LMDE Release wird auf Debian Stable basieren

Die nächste Veröffentlichung von Linux Mint Debian Edition (LMDE) wird künftig auf der stabilen Version von Debian aufsetzen, anstatt auf dem Debians Testing-Zweig.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021