Lehrplan: Durchführung von String SQL Injection
Konzept:
SQL Injection Angriffe stellen eine ernstzunehmende Bedrohung für alle Datenbank-getriebenen Webseiten dar. Entsprechende Angriffe sind leicht zu lernen und der verursachte Schaden ist schwer bzw. entspricht der Kompromittierung des kompletten Systems. Trotz dieses Gefahrenpotentials ist eine unglaubliche Anzahl von Systemen im Internet für diese Form des Angriffs verwundbar. Dieser Angriff ist zwar leicht durchzuführen, allerdings ist er auch mit ein wenig gesundem Menschenverstand und Vorausdenken leicht zu verhindern. Die anerkannte Vorgehensweise zur Verhinderung dieser Angriffstypen besteht darin alle Eingabedaten zu säubern, insbesondere die Daten die in Betriebssystembefehlen, Skripten und Datenbankabfragen eingebaut werden.Grundsätzliche(s) Ziel(e):
Das untenstehende Formular erlaubt es Benutzern ihre Kreditkartennummern anzuzeigen. Das können Sie exemplarisch mit dem Benutzernamen "Smith" ausprobieren. Versuchen Sie einen SQL String einzuschleusen, der als Resultat alle Kreditkartennummern anzeigt.