Laut aktuellen Erkenntnissen haben sich die Cracker in der bislang größten Datendiebstahl-Affäre so genannte SQL-Injection-Schwachstellen zu Nutze gemacht, um Spionagesoftware zu installieren. Die Techniken waren so ausgefeilt und raffiniert, dass die Angriffe getarnt und an den Schutzmechanismen der geschädigten Unternehmen vorbeigeschleust werden konnten.
SQL-Injection bedeutet das Einschleusen von eigenen Befehlen in eine SQL-Datenbank über den Browser und ist gemäß OWASP (Open Web Application Security Project) eine weit verbreitete Schwachstelle, die durch "Secure Programming" verhindert werden kann. Bei dieser Methode müssen Benutzereingaben ausreichend überprüft und validiert werden, damit der Angreifer die Datenbankabfragen von außen nicht modifizieren kann. In Java wird dies durch die Verwendung von "Prepared Statements" und bei Oracle mittels "Stored Procedures" gewährleistet.
Falls kein Zugriff auf den Quellcode für die Umsetzung von "Secure Programming" möglich ist oder der Hersteller noch keinen Patch für das Problem zur Verfügung gestellt hat, ist der Einsatz einer vorgelagerten Web Application Firewall, auch WAF genannt, sinnvoll. Diese ist - ähnlich einer herkömmlichen Firewall - in der Lage, die Datenpakete in Web Requests zu analysieren und Angriffe zu erkennen bzw. zu verhindern.
Mit Compass-Kursen Security Skills verbessern und Angriffe verhindern
Um den Kunden detaillierte technische Anleitungen zur Verhinderung derartiger Vorfälle an die Hand zu geben, bietet Compass neben Hack & Learn-Events auch Schulungen oder Online-Trainings mit SQL Injection-Beispielen an. Diese sind unter dem Security-Portal www.hacking-lab.com verfügbar. Hier werden die Teilnehmer in einem praktischen Labor z.B. mit den OWASP TOP 10-Web-Sicherheitslücken vertraut gemacht und erlernen adäquate Gegenmaßnahmen.
Der Web Security-Kurs von Compass umfasst folgende Inhalte:
- OWASP Top 10-Sicherheitslücken
- Authentication Attacks
- Session Fixation Attacks
- Session Prediction Attacks
- Cookie Security
- Cross Site Scripting
- Cross Site Tracing
- Cross Site Request Forgery
- Second Order Injection
- Simple und Advanced SQL Injection
- URL Redirection Attacks
- Authorization Bypass Attacks
- Application Logging/Forensic
- XML Injection, XPath Injection
- JSON Hijacking
- Click Jacking/Surf Jacking
Weitere Informationen zu den Kursen unter: http://www.csnc.ch/...