Injection

Aus Siwecos
Wechseln zu: Navigation, Suche
Injection 01.png

Eine Injection-Schwachstelle wie z. B. SQL- oder LDAP-Injection liegt vor, wenn es für einen Angreifer möglich ist, nicht vertrauenswürdige Daten in Kommandos (z. B. in HTML-Eingabefeldern) oder Web-Abfragen einzubinden, die dann von einen Interpreter auf dem Webserver verarbeitet werden. Der Angreifer kann auf diesem Wege Eingabedaten so verändern, dass er nicht vorgesehene Kommandos zur Ausführung bringt und somit unerlaubten Zugriff auf vertrauliche oder sensible Daten erhält.


Injection ist also im wahrsten Sinne des Wortes die Injizierung von schädlichem Code.


Besonders verbreitet ist die SQL-Injection, bei welcher der Angreifer sich mit manipulierten SQL-Befehlen vertrauliche Daten aus der SQL-Datenbank ausgeben lässt oder die Einträge in seinem Sinne verändert. Diese Manipulationen sind oft möglich, wenn Benutzereingaben nicht richtig gefiltert bzw. validiert werden und auch sonstige Schutzmaßnahmen nicht implementiert sind.

Bei der E-Mail-Injection wird eine Sicherheitslücke in einer Webanwendung ausgenutzt, die es einem Angreifer erlaubt, über ein ungeschütztes Kontaktformular ohne Wissen und Einverständnis des Betreibers E-Mails zu verschicken. Das Ziel des Angreifers ist der Versand von Spam. Wenn in Kontaktformularen die eingegebenen Daten ohne Prüfung vom Mailserver verarbeitet werden, besteht die Gefahr des Missbrauchs. Die E-Mail-Injection passiert, indem üblicherweise einzeilige Eingaben, wie zum Beispiel im Betreff, mit mehrzeiligen Informationen zu füllen. Damit können weitere Empfänger gesetzt werden, z. B. als „CC“ oder „BCC“, selbst wenn der Programmierer der Webanwendung eine Empfängeradresse fest vorgegeben hat.