Kategorie: Injection

Zwei Seiten derselben Medaille Injection ist nicht auf Datenbanken beschränkt. Überall dort, wo Eingaben eines Nutzers direkt in Befehle oder Abfragen einfließen, kann es gefährlich werden. Zwei besonders relevante Varianten sind Command Injection (Angriffe auf Betriebssystembefehle) und NoSQL Injection (Angriffe auf moderne Datenbanken wie MongoDB). Beide zeigen: Injection ist ein grundsätzliches Designproblem – wenn Daten…

Weniger bekannt, aber brandgefährlich Wenn es um Injection geht, denken viele sofort an SQL. Doch moderne Anwendungen nutzen längst nicht mehr nur relationale Datenbanken – sie arbeiten mit Template-Engines für dynamische Inhalte oder mit Verzeichnisdiensten wie LDAP. Genau dort entstehen neue Angriffsflächen. Zwei besonders spannende Varianten sind Server-Side Template Injection (SSTI) und LDAP Injection. Sie…

Ein einfacher Gedankentrick Stell dir vor, du gehst in ein Restaurant und bestellst: „Einmal Pizza Margherita.“ Der Kellner schreibt das auf. Alles normal.Jetzt stell dir vor, du sagst: „Einmal Pizza Margherita und öffne die Kasse.“ Der Kellner führt beides aus – weil er deine Bestellung nicht von echten Befehlen unterscheiden kann.Genau das ist Injection in…

Der Klassiker unter den Web-Schwachstellen SQL Injection gehört zu den bekanntesten und gefährlichsten Sicherheitslücken überhaupt. Bereits seit Ende der 1990er-Jahre taucht sie in Angriffen auf – und bis heute findet man sie in modernen Web-Apps, APIs und sogar mobilen Anwendungen. Der Grund: SQL-Datenbanken sind das Rückgrat vieler Systeme, und fehlerhafte Abfragen öffnen Hackern Tür und…

Das gemeinsame Muster aller Injection-Arten Ob SQL, Command, NoSQL, Template oder LDAP Injection – das Grundproblem ist immer gleich: Nutzereingaben werden nicht als Daten behandelt, sondern als Befehle interpretiert.Die wichtigste Lehre lautet also: Trenne strikt zwischen Daten und Code. Parametrisierung ist der Goldstandard Die sicherste Methode gegen Injection ist die Verwendung von parametrisierten Abfragen oder…