So zeigen Webshops statt Produktlisten plötzlich die Kreditkartennummern aller angemeldeten Benutzer an, Preise lassen sich über das Internet ändern oder Datenbanken geben die Firmenumsätze der letzten Tage heraus. Da die Firewall davon nichts merkt, gibt es jetzt spezielle „Application Security Gateways“, die die Eindringlinge stoppen sollen.
Wenn ein Nutzer Bücher von Hesse kaufen will, muss er sich im Online-Shop nicht durch den gesamten Katalog arbeiten. Er tippt einfach „Hesse“ in ein Feld und klickt auf „Suchen“. Die Web-Anwendung holt sich nun ihre Informationen aus der dahinter liegenden Datenbank, sie reicht die Suchanfrage ungeprüft nach hinten weiter, und bekommt eine Liste der Ergebnisse zurück.
Diese Arbeitsweise hat gleich mehrere Sicherheitslücken: Sobald der Nutzer eine Abfrage startet, kommen seine Daten über den offenen http-Port 80 ins Unternehmensnetz. Daten, die über diesen Port laufen, werden von den meisten Firewalls ignoriert, denn hier spielt sich der gesamte Internet-Verkehr eines Unternehmens ab. Die Firewall prüft allenfalls, ob die Pakete wirklich http-Pakete sind, um den Datenstrom möglichst ungehindert durchzulassen.
Weder Server noch Datenbank, noch Firewall schauen hingegen nach, ob die Eingabe unseres Nutzers überhaupt zulässig ist – ob sie zum Beispiel statt eines einfachen Wortes auch Ausrufezeichen, Hochkommata oder Semikolons enthält, wie es bei Programmbefehlen der Fall ist. Diese Nachlässigkeit nutzen Hacker aus und geben statt eines Suchwortes SQL-Befehlsketten ein – der gefürchtete „SQL-Injection“-Angriff. Der Server reicht diese SQL-Befehle klaglos an die Datenbank weiter – und diese gehorcht. Auf diese Weise kann der Hacker nicht nur alle möglichen Informationen bekommen, sondern unter Umständen sogar ändern – und seinen Hesse zum Nulltarif bestellen.
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
Schwachstellen aus der ThroughTek Kaylay-IoT-Plattform. Dringend Update-Status der IoT-Geräte prüfen.
Fast acht Milliarden Euro fließen in die deutsche Region der AWS European Sovereign Cloud. Das…
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…