Episode Details

SQL Injections: Eine der weitverbreitetsten Sicherheitslücken im Web, auch im Jahr 2022

Der Großteil aller Applikationen interagiert in irgendeiner Art und Weise mit einer Datenbank. Deswegen werden die meisten Entwicklerinnen und Entwickler bereits von der Sicherheitslücke "SQL Injection" gehört haben. Seit 24 Jahren ist dies eine der weitverbreitetsten Sicherheitslücken im Internet und es ist kein Ende in Sicht. Was ist eigentlich eine SQL-Injection im Detail? Welche verschiedenen Arten gibt es? Was ist der Grund, dass uns dieses Einfallstor so lange beschäftigt? Woher kommt diese und wer hat sie entdeckt? Wie kann man sich schützen und seine Anwendung ausreichend testen? All das und noch viel mehr in dieser Episode.

Bonus: Der Kontrast zwischen Duisburg und Berlin und wie die SQL-Injektion als Nebenprodukt entdeckt wurde.

Feedback (gerne auch als Voice Message)

• Email: stehtisch@engineeringkiosk.dev
• Twitter: https://twitter.com/EngKiosk
• WhatsApp +49 15678 136776

Gerne behandeln wir auch euer Audio Feedback in einer der nächsten Episoden, einfach Audiodatei per Email oder WhatsApp Voice Message an +49 15678 136776

Unsere aktuellen Werbepartner findest du auf https://engineeringkiosk.dev/partners

Links

• Phrack Magazine Volume 8, Issue 54 Dec 25th, 1998, article 08 of 12: http://www.phrack.org/archives/issues/54/8.txt
• OWASP Top Ten 2021: https://owasp.org/www-project-top-ten/
• CVE Details - Security Vulnerabilities Published In 2022(SQL Injection): https://www.cvedetails.com/vulnerability-list/year-2022/opsqli-1/sql-injection.html
• Analyzing Prepared Statement Performance: https://orangematter.solarwinds.com/2014/11/19/analyzing-prepared-statement-performance/
• SQL Injection Prevention Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html
• OWASP Top 10 (2021) - A03:2021 – Injection: https://owasp.org/Top10/A03_2021-Injection/
• CVE Details - Heartbleed (CVE-2014-0160): https://www.cvedetails.com/cve/CVE-2014-0160/
• CVE Details - Log4Shell (CVE-2021-44228): https://www.cvedetails.com/cve/CVE-2021-44228/
• xkcd "Exploits of a Mom": https://xkcd.com/327/
• HackerOne-Programm von trivago: https://hackerone.com/trivago
• Owncloud: https://owncloud.com/
• TYPO3: https://typo3.org/
• Wordpress: https://wordpress.com/de/
• SQL-Proxy: https://github.com/sysown/proxysql
• GitHub CodeQL: https://codeql.github.com/
• sqlmap:

  Listen Now