Heute mal etwas zum Thema Sicherheit: Wer Webanwendungen entwickelt und publiziert sollte sich spätestens vor dem Launch zum Thema “SQL Injections” Gedanken machen. Mit einer SQL Injection ist - für alle die es noch nicht wissen - das Einschleusen von SQL Befehlen (meist durch verändertung der Parameter in der URL) gemeint. In Zusammenarbeit mit dem Microsoft Security Center hat HP nun ein kleines Tool namens Scrawler veröffentlicht.

Mit Scrawler lassen sich Webanwendungen auf mögliche Schwachstellen und Angriffspunkte für SQL Injection Attacken scannen. Also nichts wie los und eure Anwendungen einmal gecheckt und sicherer gemacht!

Hier ein kleines Beispiel für eine SQL Injection:

Weitere Beispiele und Vermeidungstaktiken bzw. Gegenmaßnahmen sind bei Wikipedia für den Einsteiger relativ gut beschrieben.

Scrawler ist zwar gut, aber einige Sachen sind in dieser “Light Version” eines Security Scanners leider nicht enthalten:

• Scannt nur bis 1500 Seiten
• Unterstützt keine Seiten, die eine Authentifizierung benötigen
• Führt keine sogenannte “blinde” SQL Injections durch
• Kann keine Datenbank Inhalte abfragen / speichern
• Unterstützt kein JavaScript oder Flash
• Testet keine POST-Forms auf SQL Injections (nur GET-Parameter!)