Hauptmenü öffnen

Siwecos β

Injection: Unterschied zwischen den Versionen

 
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 1: Zeile 1:
Eine '''Injection'''-Schwachstelle wie z.B. SQL- oder LDAP-Injection liegt vor, wenn es möglich ist nicht vertrauenswürdige Daten in Kommandos oder Abfragen einzubinden, die dann von einen Interpreter verarbeitet werden. Der Angreifer kann auf diesem Wege Eingabedaten so verändern, dass er nicht vorgesehene Kommandos zur Ausführung bringt und somit unerlaubten Zugriff auf vertrauliche oder sensible Daten erhält. Besonders verbreitet ist die SQL-Injection bei welcher der Angreifer sich mit manipulierten SQL-Befehlen vertrauliche Daten aus der SQL-Datenbank ausgeben lässt oder die Einträge in seinem Sinne verändert. Diese Manipulationen sind oft möglich, wenn Benutzereingaben nicht richtig gefiltert werden und auch sonstige Schutzmaßnahmen nicht implementiert sind.
+
[[File:Injection_01.png|left|100px]] Eine '''Injection'''-Schwachstelle wie z. B. SQL- oder LDAP-Injection liegt vor, wenn es für einen Angreifer möglich ist, nicht vertrauenswürdige Daten in Kommandos (z. B. in HTML-Eingabefeldern) oder Web-Abfragen einzubinden, die dann von einen Interpreter auf dem Webserver verarbeitet werden. Der Angreifer kann auf diesem Wege Eingabedaten so verändern, dass er nicht vorgesehene Kommandos zur Ausführung bringt und somit unerlaubten Zugriff auf vertrauliche oder sensible Daten erhält.  
 +
<br />
 +
<center>
 +
{| style="border:4px solid #f95a29; background-color:#eaf3f8; cellpadding:30px; text-align:left; margin-right:30px;"
 +
| '''Injection''' ist also im wahrsten Sinne des Wortes die '''Injizierung''' von schädlichem Code.
 +
|}
 +
</center>
 +
<br />
 +
Besonders verbreitet ist die ''SQL-Injection'', bei welcher der Angreifer sich mit manipulierten SQL-Befehlen vertrauliche Daten aus der SQL-Datenbank ausgeben lässt oder die Einträge in seinem Sinne verändert. Diese Manipulationen sind oft möglich, wenn Benutzereingaben nicht richtig gefiltert bzw. validiert werden und auch sonstige Schutzmaßnahmen nicht implementiert sind.
 +
<br />
 +
<br />
 +
Bei der ''E-Mail-Injection'' wird eine Sicherheitslücke in einer Webanwendung ausgenutzt, die es einem Angreifer erlaubt, über ein ''ungeschütztes'' Kontaktformular ohne Wissen und Einverständnis des Betreibers E-Mails zu verschicken. Das Ziel des Angreifers ist der Versand von [[Spam]]. Wenn in Kontaktformularen die eingegebenen Daten '''ohne Prüfung''' vom Mailserver verarbeitet werden, besteht die Gefahr des Missbrauchs. Die E-Mail-Injection passiert, indem üblicherweise einzeilige Eingaben, wie zum Beispiel im Betreff, mit mehrzeiligen Informationen zu füllen. Damit können weitere Empfänger gesetzt werden, z. B. als „CC“ oder „BCC“, selbst wenn der Programmierer der Webanwendung eine Empfängeradresse fest vorgegeben hat.
  
 
[[Category:Glossar]]
 
[[Category:Glossar]]

Aktuelle Version vom 5. Juli 2017, 10:15 Uhr

Injection 01.png

Eine Injection-Schwachstelle wie z. B. SQL- oder LDAP-Injection liegt vor, wenn es für einen Angreifer möglich ist, nicht vertrauenswürdige Daten in Kommandos (z. B. in HTML-Eingabefeldern) oder Web-Abfragen einzubinden, die dann von einen Interpreter auf dem Webserver verarbeitet werden. Der Angreifer kann auf diesem Wege Eingabedaten so verändern, dass er nicht vorgesehene Kommandos zur Ausführung bringt und somit unerlaubten Zugriff auf vertrauliche oder sensible Daten erhält.


Injection ist also im wahrsten Sinne des Wortes die Injizierung von schädlichem Code.


Besonders verbreitet ist die SQL-Injection, bei welcher der Angreifer sich mit manipulierten SQL-Befehlen vertrauliche Daten aus der SQL-Datenbank ausgeben lässt oder die Einträge in seinem Sinne verändert. Diese Manipulationen sind oft möglich, wenn Benutzereingaben nicht richtig gefiltert bzw. validiert werden und auch sonstige Schutzmaßnahmen nicht implementiert sind.

Bei der E-Mail-Injection wird eine Sicherheitslücke in einer Webanwendung ausgenutzt, die es einem Angreifer erlaubt, über ein ungeschütztes Kontaktformular ohne Wissen und Einverständnis des Betreibers E-Mails zu verschicken. Das Ziel des Angreifers ist der Versand von Spam. Wenn in Kontaktformularen die eingegebenen Daten ohne Prüfung vom Mailserver verarbeitet werden, besteht die Gefahr des Missbrauchs. Die E-Mail-Injection passiert, indem üblicherweise einzeilige Eingaben, wie zum Beispiel im Betreff, mit mehrzeiligen Informationen zu füllen. Damit können weitere Empfänger gesetzt werden, z. B. als „CC“ oder „BCC“, selbst wenn der Programmierer der Webanwendung eine Empfängeradresse fest vorgegeben hat.