Das Kiosk-System ist eine virtuelle Maschine, in der ein Webshop mit einer Schwachstelle installiert ist und an der man die SQL-Injections ausprobieren kann. (Screenshot: FH Münster)
Wenn man so einen sogenannten Stack trace auf einer Website sieht, ist mit der daruntergelegenen Datenbankverbindung irgendetwas schief gelaufen. (Screenshot: FH Münster)
Die Datenbanksprache SQL ist vielen bekannt. Aber nur, wenn man die Aufrufe richtig einsetzt, kann man verhindern, dass eine Angreiferin leicht an geheime Daten kommt.
Werden in einem Eingabefeld (zum Beispiel auf einer Website) Eingaben des Benutzers nicht hinreichend kontrolliert und dann als Teil eines SQL-Statements verwendet, hat eine Angreiferin ein leichtes Spiel, wenn es darum geht, geheime Daten aus der Datenbank der Seite abzuziehen. Dafür nutzt sie eine sogenannte SQL-Injection.
Das Labor für IT-Sicherheit zeigt euch, wie und warum das funktioniert, wie es ausgenutzt werden kann und wie man Programme vor einem solchen Zugriff schützen kann. Natürlich ohne dabei fremde Datenbanken anzugreifen!
Dafür ist ein wenig Vorwissen in der Datenbanksprache SQL nötig.