Die Firma Imperva, ehemalige Webcohort, arbeitet mit einem anderen System, denn hier hat nicht der Applikation-Proxy, sondern das IDS-System Pate gestanden. Imperva kann wie ein Sniffer alle Applikationsprotokolle überprüfen oder als Bridge zwischen den Servern stehen und die Pakete mitlesen. Der Vorteil: Impervas Lösung bearbeitet und schützt reine Datenbankzugriffe auch wenn kein Webserver dazwischensteht. Zudem ist es möglich, die Lösung als reinen Sniffer laufen zu lassen, so dass im Firmennetzwerk nichts verändert werden muss. Dann kann sie allerdings auch bei Angriffen nicht eingreifen, sondern wie ein IDS nur Alarm schlagen.
Die gefürchtete SQL-Injektion versuchen Kavado und Sanctum in den http-Daten zu erkennen, sie machen also dicht, wenn sie wie im obigen Beispiel ein Semikolon oder ein Hochkomma im http-String finden. Imperva ist zusätzlich in der Lage, die Daten vom Webserver zur Datenbank zu prüfen, also die reinen SQL-Befehle. Dies ist besonders dann interessant, wenn auch der netzinterne Zugriff auf den Datenbankserver geschützt werden soll, da hier ja nur die SQL-Befehle übermittelt werden. So kann auch die interne Sicherheit der Daten sichergestellt werden.
Noch eher unbekannt im deutschen Markt sind Netcontinuum und Teros. Netcontinuum wandelt auf Netscreens Spuren und versucht, Application Security in hochperformante Hardware zu gießen – ein ASIC-Prozessor für Web-Applikationen. Teros arbeitet mit ähnlicher Technik wie Sanctum und liefert ebenfalls Hardware – allerdings keinen ASIC – gleich mit.
Neueste Kommentare
2 Kommentare zu Unsichere Web-Anwendungen: Einfallstor für Hacker
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
SQL-Injection ist ein uralter Hut!
Das Problem ist schon mindestens seit Beginn der Client/Server-Programmierung bekannt und gelöst. Warum also dieser Artikel?
Es scheint, hier soll ausschließlich billige Werbung gemacht werden… :-/
Die Lösung gegen SQL-Injection ist übrigens trivial: Man verdopple einfach alle Anführungszeichen in jedem Eingabestring und schon werden diese vom DBMS nicht mehr als String-Ende interpretiert, sondern eben als Anführungszeichen innerhalb eines Strings.
http://www.schwider.de/
AW: SQL-Injection ist ein uralter Hut!
SQL-Injection ist wirklich nicht der neueste Hacker-Trick. Da hast Du wohl recht.
Aber ich halte diesen Artikel trotzdem für aktuell. Denn er zeigt ein eher grundsätzlichen Problem auf, nämlich dass auch heute noch lange nicht jeder Programmierer seine Datenbank so absichert.
Im übrigen könnten solche Gateways, wie in dem Artikel beschrieben, auch verwendent werden um Tunneling zu unterbinden. Alles nur eine Frage der unterstützten Protokolle.