#41 SQL Injections - Ein unterschätztes Risiko

SQL Injections: Eine der weitverbreitetsten Sicherheitslücken im
Web, auch im Jahr 2022


Der Großteil aller Applikationen interagiert in irgendeiner Art
und Weise mit einer Datenbank. Deswegen werden die meisten
Entwicklerinnen und Entwickler bereits von der Sicherheitslücke
"SQL Injection" gehört haben. Seit 24 Jahren ist dies eine der
weitverbreitetsten Sicherheitslücken im Internet und es ist kein
Ende in Sicht. Was ist eigentlich eine SQL-Injection im Detail?
Welche verschiedenen Arten gibt es? Was ist der Grund, dass uns
dieses Einfallstor so lange beschäftigt? Woher kommt diese und
wer hat sie entdeckt? Wie kann man sich schützen und seine
Anwendung ausreichend testen? All das und noch viel mehr in
dieser Episode.


Bonus: Der Kontrast zwischen Duisburg und Berlin und wie die
SQL-Injektion als Nebenprodukt entdeckt wurde.





Feedback (gerne auch als Voice Message)


Email: stehtisch@engineeringkiosk.dev

Twitter: https://twitter.com/EngKiosk

WhatsApp +49 15678 136776






Gerne behandeln wir auch euer Audio Feedback in einer der
nächsten Episoden, einfach Audiodatei per Email oder WhatsApp
Voice Message an +49 15678 136776





Unsere aktuellen Werbepartner findest du auf
https://engineeringkiosk.dev/partners


 
Links

Phrack Magazine Volume 8, Issue 54 Dec 25th, 1998,
article 08 of 12: http://www.phrack.org/archives/issues/54/8.txt

OWASP Top Ten 2021: https://owasp.org/www-project-top-ten/

CVE Details - Security Vulnerabilities Published In 2022(SQL
Injection):
https://www.cvedetails.com/vulnerability-list/year-2022/opsqli-1/sql-injection.html

Analyzing Prepared Statement Performance:
https://orangematter.solarwinds.com/2014/11/19/analyzing-prepared-statement-performance/

SQL Injection Prevention Cheat Sheet:
https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html

OWASP Top 10 (2021) - A03:2021 – Injection:
https://owasp.org/Top10/A03_2021-Injection/

CVE Details - Heartbleed (CVE-2014-0160):
https://www.cvedetails.com/cve/CVE-2014-0160/

CVE Details - Log4Shell (CVE-2021-44228):
https://www.cvedetails.com/cve/CVE-2021-44228/

xkcd "Exploits of a Mom": https://xkcd.com/327/

HackerOne-Programm von trivago: https://hackerone.com/trivago

Owncloud: https://owncloud.com/

TYPO3: https://typo3.org/

Wordpress: https://wordpress.com/de/

SQL-Proxy: https://github.com/sysown/proxysql

GitHub CodeQL: https://codeql.github.com/

sqlmap: https://sqlmap.org/

SQLi-Fuzzer: A SQL Injection Vulnerability Discovery
Framework Based on Machine Learning:
https://ieeexplore.ieee.org/document/9657925

OWASP Zed Attack Proxy (ZAP): https://www.zaproxy.org/

PlanetScale: https://planetscale.com/

Awesome static analysis:
https://github.com/analysis-tools-dev/static-analysis




Sprungmarken

(00:00:00) Intro


(00:00:42) SQL-Injections aus den 90ern und die Vielfalt in
Berlin


(00:02:49) Das heutige Thema: Web-Security SQL-Injections in der
Tiefe


(00:05:07) Was sind SQL-Injections?


(00:08:48) Sind SQL-Injections auch im Jahr 2022 noch ein
Problem?


(00:10:56) Wann gab es die erste SQL-Injection? Woher stammt
diese Sicherheitslücke?


(00:13:22) Was sind die Gründe, dass SQL-Injections noch so ein
großes Problem sind?


(00:19:37) Verschiedene Arten von SQL-Injections: Output-Based,
Error-Based, Blind-SQL-Injections, Time-Based-SQL-Injections,
Out-of-Band-SQL-Injections


(00:27:42) Bug Bounty: 2-Channel SQL Injection-Attacke in
Kombination mit Cross-Site-Scripting (XSS) bei trivago


(00:29:42) Mehrstufige Attacken und Ausnutzung mehrerer Lücken
nacheinander


(00:33:16) Möglicher Schaden durch eine SQL-Injection: Daten
verändern, Befehle auf dem Server ausführen, lokale Dateien lesen
und schreiben, SQL-Funktionen ausführen, Denial of Service (DoS)


(00:39:09) Gegenmaßnahmen um SQL-Injections zu verhindern:
Prepared Statements, Datenbank-Komponenten updaten, limitierte
Rechte für Datenbank-User, Web Application Firewalls (WAF)


(00:56:42) Möglichkeiten um deine Anwendung automatisch zu
testen: Unit-Tests, statische Analyse, dynamische Analyse mit
sqlmap und Fuzzing


(01:02:51) Maßnahmen um Sicherheit zu gewährleisten von Datenbank
as a Service-Providern


(01:06:51) Outro



Hosts

Wolfgang Gassler (https://twitter.com/schafele)

Andy Grunwald (https://twitter.com/andygrunwald)




Feedback (gerne auch als Voice Message)

Email: stehtisch@engineeringkiosk.dev

Twitter: https://twitter.com/EngKiosk

WhatsApp +49 15678 136776