Kapitel 25. Gegen Injektion verteidigen

Auf haben wir bereits über das Risiko von Injection-Angriffen auf Webanwendungen gesprochen. Diese Angriffe kommen immer noch häufig vor (auch wenn sie in der Vergangenheit häufiger vorkamen). Sie sind in der Regel das Ergebnis unzureichender Aufmerksamkeit seitens des Entwicklers, der eine Automatisierung mit einem CLI und vom Benutzer eingegebenen Daten schreibt.

Injection-Angriffe decken ebenfalls eine große Fläche ab. Injection kann gegen CLIs oder jeden anderen isolierten Interpreter auf dem Server eingesetzt werden (wenn es die Betriebssystemebene betrifft, wird es stattdessen zu Command Injection). Wenn wir uns überlegen, wie wir uns gegen Injection-Angriffe verteidigen, ist es daher einfacher, solche Abwehrmaßnahmen in ein paar Kategorien aufzuteilen.

Als Erstes sollten wir die Abwehrmaßnahmen gegen SQL-Injection-Angriffe - die häufigste und bekannteste Form von Injection - bewerten. Nachdem wir untersucht haben, was wir zum Schutz vor SQL-Injection tun können, können wir sehen, welche dieser Verteidigungsmaßnahmen auch für andere Formen von Injection-Angriffen geeignet sind. Schließlich können wir einige allgemeine Methoden zur Abwehr von Injektionen bewerten, die nicht auf eine bestimmte Untergruppe von Injektionsangriffen zugeschnitten sind.