Sicherheit im Internet

Aus Wikizone
Wechseln zu: Navigation, Suche

Hier geht es um Sicherheit beim Surfen, Programmieren etc.


SQL-Injection[Bearbeiten]

Angriff der Google-Bots[Bearbeiten]

aus: http://blog.chip.de/0-security-blog/angriff-der-google-bots-20070520/ Datum des Zugriffs: 2.7.2007

Thema: Searchengine, Allgemein von Valentin am Sonntag, den 20.05.2007

Google Image SearchSuchmaschinen-Hacking ist nicht neu und doch gibt es immer wieder Ideen, die Aufmerksamkeit erfordern. Denn Google und Co. eignen sich nicht nur wunderbar dafür Sicherheitslücken zu suchen, sondern auch um sie auszunutzen. Zwar ist auch das nicht wirklich neu, aber ein gerade erschienenes Paper zeigt, dass es sich nicht nur um reine Gedankenspielerei einiger Theoretiker handelt. Der Artikel mit dem klangvollen Namen “I, Bot: Taking advantage of robots power.” gibt sogar zwei, wenn auch unvollständige, Codebeispiele wie man Google misbrauchen kann.

Im Prinzip ist die Idee ganz einfach: Viele Webseiten leiden an dem sogenannten SQL-Injection-Problem. Denn manche Webseiten übernehmen Benutzereingaben in die URL (Adresszeile).

Typische ist etwa der SQL-Injection-Angriff auf Login-Formulare. Gibt der Hacker dort nämlich nicht einfach nur Text, sondern einen SQL-Befehl ein und wird dieser nicht ausgefiltert von der Webseite, hilft das beste Passwort nichts. Ein Beispiel:

Ein normales Login: 

   - Der Benutzer gibt Name und Passwort ein
   - Die Datenbank führt folgenden Befehl aus: SELECT * FROM datenbank WHERE name = ‘Admin’ AND password = ‘geheim’;
   - Findet die Datenbank einen Benutzer mit diesem Passwort, darf er sich einloggen

Der Hacker aber gibt folgendes ein: 

   - Der Hacker wählt ebenfalls den Benutzernamen “Admin” als Passwort aber “‘ OR 1=1;–”
   - Die Datenbank führt daraufhin folgenden Befehl aus: SELECT * FROM datenbank WHERE name = ‘Admin’ AND password = ‘‘ OR 1=1;–
   - Da 1 immer 1 ist wird die Datenbank auch immer ein Ergebnis finden und damit das Login als Admin akzeptieren

Angenommen Benutzernamen und Passwort landen in der URL (http://127.0.0.1/login.php?name=Admin&password=geheim) kann die Adresse auch von Googles fleisigen Helfern angesurft werden. Und es muss sich ja nicht immer um Logins handeln. Es könnten ja auch Kreditkartennummern oder andere interessante Dinge in der Datenbank versteckt sein.

Das einzige was der Hacker also machen muss, ist eine Webseite mit SQL-Injection-URLs ins Netz stellen. Irgendwann kommt der Google-Bot vorbei, sieht die Adressen und surft sie an. Das Ergebnis wird praktischerweise auch noch gleich indiziert. Der Hacker muss also zu keinem Zeitpunkt die Webseite direkt ansurfen. Das Ergebnis kann er sich von Googles Cache holen.

Praktisch oder?

Abgerufen von „https://wiki.stephanschlegel.de/index.php?title=Sicherheit_im_Internet&oldid=18567