6a96547ef0
git-svn-id: http://webgoat.googlecode.com/svn/branches/webgoat-6.0@485 4033779f-a91e-0410-96ef-6bf7bf53c507
20 lines
1.2 KiB
HTML
20 lines
1.2 KiB
HTML
<div align="Center">
|
|
<p><b>Lehrplan:</b> Durchführung von String SQL Injection</p>
|
|
</div>
|
|
|
|
<p><b>Konzept:</b> </p>
|
|
|
|
SQL Injection Angriffe stellen eine ernstzunehmende Bedrohung für alle Datenbank-getriebenen Webseiten dar.
|
|
Entsprechende Angriffe sind leicht zu lernen und der verursachte Schaden ist schwer bzw. entspricht der
|
|
Kompromittierung des kompletten Systems.
|
|
Trotz dieses Gefahrenpotentials ist eine unglaubliche Anzahl von Systemen im Internet für diese Form des Angriffs verwundbar.
|
|
Dieser Angriff ist zwar leicht durchzuführen, allerdings ist er auch mit ein wenig gesundem Menschenverstand und Vorausdenken
|
|
leicht zu verhindern. Die anerkannte Vorgehensweise zur Verhinderung dieser Angriffstypen
|
|
besteht darin alle Eingabedaten zu säubern, insbesondere die Daten die in Betriebssystembefehlen,
|
|
Skripten und Datenbankabfragen eingebaut werden.
|
|
<p><b>Grundsätzliche(s) Ziel(e):</b> </p>
|
|
<!-- Start Instructions -->
|
|
Das untenstehende Formular erlaubt es Benutzern ihre Kreditkartennummern anzuzeigen. Das können Sie
|
|
exemplarisch mit dem Benutzernamen "Smith" ausprobieren.
|
|
Versuchen Sie einen SQL String einzuschleusen, der als Resultat alle Kreditkartennummern anzeigt.
|
|
<!-- Stop Instructions --> |