Raika Lana

SQL-Injection – Das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken

by Radio Sonnenschein

hacker anonymous

SQL-Injection (dt. SQL-Einschleusung) ist das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken. Die Sicherheitslücke entsteht durch einen Programmierfehler in einem Programm, das auf die Datenbank zugreift. Durch diesen Programmierfehler kann ein Angreifer Datenbankbefehle einschleusen und abhängig vom Einzelfall weitere Daten aus der Datenbank auslesen, Daten unberechtigt ändern oder löschen oder sogar die Kontrolle über den kompletten Datenbankserver übernehmen.

Ein erfolgreiches Ausnutzen einer SQL-Injection erfordert:

  • eine SQL-Datenbank, die angegriffen wird, zum Beispiel MySQL, Microsoft SQL Server, Db2
  • ein Anwendungsprogramm, in das Angreifer Daten eingeben können, zum Beispiel eine Loginmaske, eine Produktsuche in einem Onlineshop oder ein Kontaktformular im Web
  • dass das Anwendungsprogramm diese Daten an die Datenbank weiterreicht
  • einen Programmierfehler in dem Anwendungsprogramm, beim Weiterreichen der Daten

Der Programmierfehler besteht darin, dass das Anwendungsprogramm die Eingabedaten nicht als reine Daten an die Datenbank weiterreicht, sondern aus diesen Daten die Datenbankabfrage erzeugt. Dadurch kann ein Angreifer versuchen, Teile der Datenbankabfrage gezielt zu steuern.

In der Datenbankabfragesprache SQL haben einige Zeichen eine besondere Bedeutung, insbesondere:

  • der Apostroph, um Textdaten zu umschließen
  • das Anführungszeichen, um Textdaten zu umschließen (nur einige Datenbanken)
  • der umgekehrte Schrägstrich (Backslash), um das nachfolgende Zeichen nicht als besonderes Zeichen zu interpretieren
  • das Semikolon, um einen Datenbankbefehl von dem nächsten Datenbankbefehl zu trennen
  • ein doppelter Bindestrich, um den Rest der Zeile zu ignorieren (Kommentar)

Dokumentenorientierte NoSQL Datenbanken können ebenfalls von diesem Sicherheitsproblem betroffen sein:

  • die geschweiften und eckigen Klammern, welche ein JSON Objekt bzw. Array umschließen

Diese Zeichen verwendet ein Angreifer gezielt, um den Angriff durchzuführen.

Beispiel

Ein Beispiel für eine SQL-Abfrage, die in einem Redaktionssystem nach Artikeln aus einer bestimmten Kategorie sucht, ist:

SELECT id, titel, artikeltext FROM artikel WHERE kategorie = 'gesuchte Kategorie';

Diese Abfrage hat folgende Bestandteile:

  • Die großgeschriebenen Wörter sind Schlüsselwörter in SQL und haben eine feste Bedeutung.
  • Die kleingeschriebenen Wörter sind die Namen von Tabellen oder Spalten in der Datenbank.
  • Text innerhalb von einfachen Anführungszeichen ist feststehender Text.

Der Text „gesuchte Kategorie“ stellt hier nur einen Platzhalter dar, an dieser Stelle der Datenbankabfrage muss die jeweils gesuchte Kategorie eingetragen werden. Solange die gesuchte Kategorie keins der oben erwähnten Sonderzeichen enthält, könnte sie direkt in die Beispielabfrage eingesetzt werden.

Wenn die gewünschte Kategorie jedoch zum Beispiel Rock_’n’_Roll ist und damit einen Apostroph enthält, führt ein naives Ersetzen des Platzhalters zu dieser SQL-Abfrage:

SELECT id, titel, artikeltext FROM artikel WHERE kategorie = 'Rock 'n' Roll';

Auffällig ist hier die Doppelbedeutung des Apostroph: einerseits als Begrenzer, andererseits als wörtlich gemeintes Zeichen. Diese Doppelbedeutung ist für Menschen ersichtlich, aus Sicht der Datenbank ist diese Anfrage jedoch nicht sinnvoll interpretierbar, da die Abfrage als kategorie = 'Rock ' interpretiert wird, gefolgt von einem Wort n und dem weiteren Text ' Roll' in Apostrophen. Mit dem Wort n kann die Datenbank nichts anfangen und wird für diese Abfrage daher eine Fehlermeldung zurückgeben.

Eine SQL-Injection besteht nun darin, dass der Angreifer durch gezielte Wahl der Eingabedaten die Datenbankabfrage so verändert, dass sie zwar noch eine gültige Struktur hat, aber eine andere Bedeutung. So führt zum Beispiel der scheinbar unsinnige Suchbegriff asdfasdf' OR id < 100 OR kategorie = 'sdfgsdfg zu dieser Datenbankabfrage:

SELECT id, titel, artikeltext FROM artikel WHERE kategorie = 'asdfasdf' OR id < 100 OR kategorie = 'sdfgsdfg';

Diese Abfrage ist aus Sicht der Datenbank völlig korrekt, sie enthält 3 einzelne Bedingungen, von denen mindestens eine wahr sein muss. Die erste und dritte Bedingung haben in diesem Beispiel nur die Aufgabe, dass die SQL-Abfrage weiterhin wohlgeformt ist, und es ist unwahrscheinlich, dass es in der Datenbank tatsächlich Kategorien diesen Namens gibt. Daher bleibt als einzig relevante Bedingung id < 100 übrig. Aus der ursprünglichen SQL-Abfrage, die nur Artikel aus einer bestimmten Kategorie liefert, ist durch geschickte Wahl des Suchbegriffs eine strukturell andere SQL-Abfrage geworden, die nun die Artikel anhand ihrer ID sucht, unabhängig von der Kategorie.

Durch diese geänderte SQL-Abfrage kann ein Angreifer möglicherweise Daten aus der Datenbank sehen, die nicht für ihn bestimmt sind. Durch andere gezielte Suchbegriffe kann der Angreifer möglicherweise Daten in der Datenbank ändern oder löschen, je nach Einzelfall.

Der Programmierfehler besteht bei einer SQL-Injection darin, den Suchbegriff 1:1 in die Datenbankabfrage zu übernehmen, ohne die besondere Bedeutung des Apostroph und ähnlicher Zeichen zu berücksichtigen.

Quelle: Wikipedia

Internet

Brother Cookie is watching you! Hier werden Cookies verwendet. Ist das ok? OK Info