SQL-Injection via HTTP-Header • TomSec

TomSec

IT-Sicherheit, IT-News und mehr

Tomsec - Injection

SQL-Injection via HTTP-Header

4 April 2012 von Thomas Propach | Keine Kommentare

Das es sich gerade im Bereich der IT-Security auszahlt, wenn man etwas abseits der Wege geht, dass stellen aktuell erneut Forscher des “InfoSec Institutes” unter Beweis.

So hat der Forscher Shay Chen letztes Jahr 60 Programme zur automatischen Erkennung von Schwachstellen, wie (u.a.) SQL-Injection-Angriffe, untersucht.

Dabei stellte er fest, dass 75% dieser Scanner nicht in der Lage sind SQL-Injections im HTTP-Header zu erkennen. Ebenso versagten 70% der getesteten Software dabei Probleme bei der HTTP-Cookie-Verarbeitung zu erkennen.

Für Entwickler von Webanwendung ist dies insoweit problematisch, als dass sie oft genau diese Tools nutzen um die Sicherheit ihrer Anwendung zu überprüfen. Werden existierende Schwachstellen dabei nicht gefunden, können sie später von Hackern genutzt werden.

Da Hacker meistens technisch sehr versiert und zeitlich ungebunden sind, ist es für sie häufig möglich solche Lücken manuell zu finden und zu exploiten.

Im englischen Originalartikel wird detailliert geschildert, wie solche Lücken aussehen können und wie man sie ausnutzt.



Quelle: http://resources.infosecinstitute.com/sql-injection-http-headers/

Author:

Thomas Propach ist Student an der Westfälischen Hochschule im Masterstudiengang Internet-Sicherheit. Auch neben dem Studium widmet er seine Zeit den Themen Penetrationstesting, Exploiting, Ethical Hacking und generell der IT-Security.

Keine Kommentare

Keine Kommentare

    Verfasse einen Kommentar

    Pflichtfelder sind markiert *.
    Textile Hilfe

    *


Blogverzeichnis - Blog Verzeichnis bloggerei.deBlogverzeichnisBlog Top Liste - by TopBlogs.deBlogverzeichnis - Netzwelt