SQL injection

Was ist eine SQL-Injection?

Die SQL-Injection ist ein Exploit, der Sicherheitslücken in einer Datenbank ausnutzt, um Code einzuschleusen. Ein anderer Begriff für SQL-Injection ist „SQL-Einschleusung“. Mit dem Einschleusen von SQL versuchen Cyberkriminelle, Malware in echte Webseiten einzubetten.

Beim Ausfüllen von Formularen werden die Einträge in einer Datenbank in der Datenbanksprache SQL gespeichert. Schwachstellen im Code führen gegebenenfalls dazu, dass ein Eintrag in einem Formularfeld einen Befehl an die Datenbank sendet. So können Cyberkriminelle einen Befehl eingeben, mit dem die Datenbankinhalte (E-Mail-Adressen, Benutzernamen und Kennwörter) preisgegeben werden.

Es gibt eine Reihe von Webanwendungen, die Webseiten auf solche Schwachstellen prüfen. Wir empfehlen, eine solche Prüfung durchzuführen, wenn Ihre Webseite ein Formulareintragsfeld enthält, mit dem Daten gespeichert werden.


Bekannte Fälle

Die John-Hopkins-Universität, in deren Server des Fachbereichs Biomedizintechnik SQL eingeschleust wurde, sowie einige andere Universitäten sind bekannte Beispiele für SQL-Injection. Regierungsbehörden in China, in der Türkei, in Japan, im Vereinigten Königreich und die UN wurden ebenfalls auf diese Art angegriffen. Im Jahr 2014 hat ein Hacker sogar 1,2 Milliarden Internet-Zugangsdaten von über 420.000 Webseiten gestohlen.


Blockieren infizierter Webseiten

Wir empfehlen Nutzern unseren Premium-Schutz, der mit seinem erweiterten Webschutz infizierte Webseiten blockiert.