SQL-Injection, auch Insertion genannt, ist eine gefährliche Technik, die Schwachstellen in der SQL-basierten Anwendungssoftware einer Webseite ausnutzt, indem bösartige SQL-Anweisungen injiziert oder falsche Eingaben ausgenutzt werden. Im Jahr 2013 führte das Open Web Application Security Project [OWASP] Injection als die häufigste Bedrohung für anfällige Webanwendungen auf.
SQL-Injektion ist eine der häufigsten Code-Injektions-Techniken, die von Angreifern für Angriffe auf Webseiten verwendet wird. Sobald eine Webseite ausgenutzt wird, versuchen Angreifer, Root-Zugriff auf den Server zu erlangen, was ihnen ermöglicht, Informationen zu sammeln sowie auf Datenbanken und andere Geräte im Netzwerk zuzugreifen.
Im März 2011 wurde SQL-Injection verwendet, um zahlreiche Webseiten zu kompromittieren und ein bösartiges Skript zu injizieren, das Umleitungen zu bestimmten URLs auslöst, die zu Malware wie FAKEAV führen.
Während beide Schwachstellen durch schädliche Codes oder Daten verursacht werden können, die von Webseiten-/App-Benutzern und Administratoren gesendet werden, unterscheiden sie sich in Bezug auf die Auswirkungen. CSS/XSS verursachen typischerweise Störungen auf der Client- oder Besucherseite und können dazu verwendet werden, Sitzungen zu kapern, Webseiten zu verunstalten, bösartige Inhalte herunterzuladen und URLs umzuleiten. Injektionen hingegen beeinträchtigen die Serverseite stark und können zu Datenverlusten und anderen Folgen führen.
Stand: 20.03.2021