SQL-Einschleusung

  • Share via AddThis

Eine SQL-Einschleusung ist eine Sicherheitslücke, bei der ein Angreifer die Structured Query Language (SQL) in Form einer Handlungsanfrage über ein Webformular direkt an eine Webanwendung weiterleitet, um Zugriff auf Back-End-Datenbank und/oder Anwendungsdaten zu erhalten. Dies kann zu unbeabsichtigtem und böswilligem Verhalten bei der Zielanwendung führen. Für gewöhnlich ist diese Art von Angriff erfolgreich, weil eine Webanwendung keine Validierung der Benutzereingaben vornimmt, sodass Benutzer z. B. SQL-Anwendungscode in HTML-Formularen anstelle von normalen Textzeichenfolgen eingeben können.

Die Anwendungs-Firewall des F5 BIG-IP® Application Security Manager bereinigt und validiert Benutzereingaben in der Anwendung, indem sie sowohl nach bekannten Angriffsmustern sucht als auch nur bekannte Datenzeichenfolgen und -formate zur Anwendung zurückkehren lässt. Indem nur gültige und autorisierte Anwendungstransaktionen zugelassen werden, verhindert der BIG-IP Application Security Manager, dass bösartiger Code auf die Anwendungsserver zugreift und nimmt der Anwendungsgeschäftslogik die Last der Sicherheits- und Eingabevalidierung ab.

F5-Produkte, die Schutz vor SQL-Einschleusung bieten: BIG-IP Application Security Manager