Kapitel 31. Gegen Injektion verteidigen

In Kapitel 13 haben wir das Risiko von Injektionsangriffen auf Webanwendungen besprochen. Diese Angriffe sind immer noch weit verbreitet (obwohl sie in der Vergangenheit häufiger vorkamen). Sie sind in der Regel das Ergebnis unzureichender Aufmerksamkeit seitens des Entwicklers, der eine Automatisierung mit einer CLI und vom Benutzer eingegebenen Daten schreibt.

Injection-Angriffe decken ebenfalls eine große Fläche ab. Injection kann gegen CLIs oder jeden anderen isolierten Interpreter auf dem Server eingesetzt werden (wenn es die Betriebssystemebene betrifft, wird es stattdessen zu Command Injection). Wenn wir uns überlegen, wie wir uns gegen Injection-Angriffe verteidigen, ist es daher einfacher, solche Abwehrmaßnahmen in ein paar Kategorien aufzuteilen.

Als Erstes sollten wir die Abwehrmaßnahmen gegen SQL-Injection-Angriffe - die häufigste und bekannteste Form von Injection - bewerten. Nachdem wir untersucht haben, was wir zum Schutz vor SQL-Injection tun können, können wir sehen, welche dieser Abwehrmaßnahmen auch auf andere Formen von Injection-Angriffen anwendbar sind. Schließlich können wir einige allgemeine Methoden zur Abwehr von Injektionen bewerten, die nicht auf eine bestimmte Untergruppe von Injektionsangriffen zugeschnitten sind.