SQL Injections

SQL-Injection-Angriffe nehmen deutlich zu

Die Zahl der registrierten SQL-Injection-Angriffe ist im letzten Quartal um 69 Prozent gestiegen. Die USA und Europa haben demnach fast eine halbe Millionen derartiger Angriffe  zwischen April und Juni 2012 festgestellt, im ersten Quartal waren es noch weniger als 300.000.

Unter SQL Injection versteht man eine Attacke, bei der über eine speziell präparierte Eingabe, etwa in der Suchfunktion einer Web-Seite, Datenbank-Befehle eingeschleust werden. Mit etwas Geschick kann ein Angreifer die Befehle so optimieren, dass sie gezielte Datenbankfelder ausgeben – beispielsweise die E-Mail-Adressen und Passwörter der registrierten Benutzer.

Damit gehören Sicherheitslücken in Web-Applikationen, die SQL-Injection erlauben, mit zu den gefährlichsten Lecks in einem Unternehmen, da sie direkt die Daten auf dem betroffenen Server gefährden. Bei den in letzter Zeit bekannt gewordenen Passwort-Lecks von LinkedIn und Gamigo dürfte die Ursache auch auf eine SQL-Injection Schwachstelle des Servers zurückzuführen sein.