Webangriffe nutzen vor allem zwei Lücken aus: SQL Injection und Local File Inclusion, wobei SQL Injection wohl nach wie vor mit mehr als zwei Drittel aller Web-Anwendungsangriffe eine klare Mehrheit hat. Das lässt sich unter anderem Studien zu Angriffen auf Web-Applikationen und zu Attacken auf Finanzdienste entnehmen. Aber die Abwehr ist gar nicht schwer. (heise.de)
Um der Bedrohung Herr zu werden, setzen zahlreiche Softwarehersteller und -betreiber bis heute auf sogenannte Block Lists (ehemals Blacklists), die No-Gos für eintreffende Eingaben von außen vorgeben. Sie dienen als Basis, um die Eingaben entweder zu blocken, Teile davon abzuändern oder zu entfernen. Das Vorgehen arbeitet als Filter, damit am Ende keine bösartigen Queries die Datenbank erreichen. Dieses Vorgehen ist zumeist relativ einfach umzusetzen, kann allerdings höchstens ein kurzfristiger Ansatz sein, da erfahrene Angreifer die aufgestellten Blockaden leicht umgehen können.
» Erfahren Sie mehr über die Grundlagen der Injektion, Ping-Pong und bessere Alternativen auf heise.de
» Downloaden Sie die Studie zu Angriffen auf Web-Applikationen auf enisa.europa.eu
» Lesen Sie die Studie zu Attacken auf Finanzdienste auf akamia.com (PDF)
Bei Schwachstellen im Web nimmt SQL Injection nach wie vor eine führende Rolle ein, dabei ist die Abwehr gar nicht schwer.
Über uns
Tedesio ist ein modernes und intelligentes IT Spezialistenteam mit den Schwerpunkten IT Security, ITK Lösungen und IT Authority. Wir unterstützen Sie bereits im Vorfeld sowie in eingetretenen Ausnahmezuständen als kompetenter und professioneller Partner mit einem großen Spektrum an Services & Solutions in den Bereichen IT Security, IT Analytics, IT Forensic und DSGVO (Datenschutzgrundverordnung). Wir beraten und begleiten Sie und Ihr Unternehmen diskret, vertrauensvoll und kompetent bei den ständig steigenden Sicherheitsherausforderungen durch die Vernetzung der IT Systeme. Sie profitieren hierbei von unseren Erfahrungen und Erkenntnissen.
Kontakt
Tedesio GmbH
21244 Buchholz in der Nordheide
Telefon: 04181 92891-67
E-Mail: security@tedesio.de
Comments