SQL-Injection

SQL-Injection (dt. SQL-Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es, Daten in seinem Sinne zu verändern oder Kontrolle über den Server zu erhalten.

Quelle: http://de.wikipedia.org/wiki/SQL-Injection


Google indexiert nicht nur das was der Betreiber einer Website gerne unters Netzvolk bringen möchte, sondern auch peinliche oder gar gefährliche Fehlermeldungen, die schwerwiegende Sicherheitslücken anzeigen können.

Folgende Meldung hat jeder, der öfter im Netz unterwegs ist, sicher schon einmal gesehen:

Eine Fehlermeldung die anzeigt dass mit der Datenbank, bzw. dem Script welches auf sie zugreift, etwas nicht in Ordnung ist.

In diesem Fall hat Google eine Seite noch im Index gelistet die es nicht mehr gibt. Anstatt eines Hinweises, dass die Seite gelöscht wurde und eine Weiterleitung zur Startseite folgt, erscheint die Fehlermeldung aus der Datenbank. Ein Angreifer kann nun hoffen hier leichtes Spiel zu haben.


Suchmaschinen haben noch keine Algorithmen parat, die dafür sorgen dass solche Seiten sofort aus dem Index entfernt werden. Alleine das Auftauchen des Textes einer Fehlermeldung in einer Website bedeutet ja nicht unbedingt dass es sich um einen Fehler in der Website selber handelt. In den Suchergebnissen listen die Suchmaschinen auch Foreneinträge auf, in denen jemand fragt was es mit der Fehlermeldung auf sich hat und wie der Fehler behoben werden kann.


Ein Angreifer würde nun als erstes versuche zu ermitteln welches CMS, welcher Shop, etc. auf der Seite benutz wird. Wenn er dies herausfinden kann, dann weiß er unter Umständen welche Struktur die Datenbank hat und kann ganz gezielt versuchen Daten auszulesen.

In einem für ihn unbekannten System wird er versuchen zu klären wie viele Spalten die Tabelle hat, hierfür würde er folgenden Code injizieren:
UNION SELECT 1,2,3,4,5,6,7,8,9,10

Solange die Meldung The used SELECT statements have a different number of columns angezeigt wird, besteht der Datenbankeintrag aus mehr oder auch weniger Spalten.

Einfaches Anhängen eines weiteren Komma und einer Zahl wird solange wiederholt, bis diese Fehlermeldung nicht mehr erscheint. Wurde die Anzahl der Spalten erfolgreich ermittelt, wird auf der Website irgendwo eine oder mehrere der injizierten Zahlen angezeigt:

Eine der Zahlen wird mit SQL-Befehlen ersetzt, die dem Angreifer die entsprechenden Informationen liefern:

Was ein Angreifer mit einer SQL-Injection anfangen kann, ist von dem verwendeten System abhängig. Auf jeden Fall wird er versuchen die Passworte bzw. deren Hash auszulesen, mit samt dem Usernamen. Da leider noch immer in vielen Systemen die Passworte nur aus einem ungesalzenen Hash bestehen, gibt es immer die Gefahr, dass einfache Passworte gecrackt werden können. Das Ziel eines Angreifers in einem Shop können aber auch die in der Datenbank gespeicherte Zahlungsinformationen der Kunden sein, um deren Bankkonto leerzuräumen oder die Kreditkarte zu belasten.


Von 500 untersuchten Suchergebnissen fand ich in mehr als 80% der Seiten die Fehlermeldung aus der Datenbank, also eine potenzielle Sicherheitslücke zu SQL-Injection. Zum Teil sind es alte Seiten, die wohl schon seit längerer Zeit nicht mehr gepflegt und genutzt werden. Warum diese Seiten nicht einfach gelöscht werden ist mir nicht klar, denn auch und vor allem diese Seiten können für Angreifer sehr interessant sein. Ein Angriff und eine erfolgte Injektion wird in solchen Seiten erst sehr spät, wenn überhaupt, erkannt.

Unter meinen, bzw. Googles, Fundstücken waren neben Shops, Dienstleister für IT-Security, Webagenturen und Programmierer, auch Seiten von Banken und Regierungsorganisationen. Schwachstellen zu SQL-Injection sind sehr weit verbreitet, was schon an der Vielzahl der Ergebnisse in Suchmaschinen abzuschätzen ist.

“Microsoft liefert Webbrowser-Auswahlfenster in Deutschland aus” (heise.de)

Das Auswahlfenster ist so gestaltet, dass zunächst nur fünf Webbrowsersymbole mit kurzen Beschreibungen zu sehen sind, und zwar immer nur die der fünf populärsten Programme. Deren Reihenfolge wird zu jedem Aufruf des Auswahlfensters nach dem Zufallsprinzip neu angeordnet. Um die weiteren Alternativen sehen zu können, die auch untereinander mit jedem Neustart umgeordnet werden, muss der Nutzer in dem Auswahlfenster zur Seite scrollen.

Es ist wohl nur Zufall, dass der erste angezeigte Browser auf browserchoice.eu immer der Exploder ist, wenn JavaScript deaktiviert wurde. Es könnte auch daran liegen das es in ASP keine Funktion für Zufallszahlen gibt. ;O)

Aber ist es auch ein Zufall das ein Klick auf “Installieren” unter dem Logo vom “Avant Browser” zu einem mit Malware verseuchten Download führt?

Die “Diagnoseseite für filekicker.net (google.com) ist nicht wirklich hilfreich:

Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 1 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.
(…)
0 Seite(n) von insgesamt 520 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-03-15 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-03-15 gefunden.

Na was denn nun? 1 mal oder 0 mal innerhalb der letzten 90 Tage?

Malicious software includes 29 trojan(s), 4 worm(s)

Google ist verwirrt!


Die virustotal.com-Prüfung hat auch nur ein “Suspicious.Insight” von Symantec in der absetup.exe gefunden und viruschief.com findet gar nichts verdächtiges.

Wollen wir mal glauben das die Jungs von Avant Browser (avantbrowser.com) den Jungs von Microsoft einfach nur einen falschen Downloadlink gegeben haben. Vielleicht war es ja auch nur ein Spass und die Avanties wollten Microsoft testen, ob die den komischen Link bemerken. :O)