OutOfCoffeeException

SQL Injection – wenn man mal wieder sein Kennwort vergessen hat…

Saturday, July 05, 2008 5:02:24 PM (W. Europe Daylight Time, UTC+02:00)

Gerade wollte ich mich zu einem meiner Produkte auf der Support-Webseite einloggen. Dummerweise ist mir mal wieder mein Kennwort für diese Seite nicht eingefallen (keine Ahnung, ob ich überhaupt schon eins habe). Ohne wirklich mit einem Ergebnis zu rechnen habe ich einfach mal folgendes eingegeben:

Benutzer: %

Passwort: ' OR 1=1 --

Ergebnis: “Welcome to the […] Web Site of the Technical Support”.

Wie lange wird es wohl noch dauern, bis das Thema SQL Injection endlich bei jedem Entwickler angekommen ist? Oder Sicherheit ganz allgemein?

Naja, wenigstens muss ich mir für diese Seite kein Kennwort mehr merken.

Nachtrag:

Gerade habe ich mir mal aktuelle Folien zu einer Datenbankvorlesung bei uns in Paderborn angesehen. Ist leider tatsächlich noch so wie vor Jahren als ich die Vorlesung selbst gehört habe – kein Wort von SQL Injection. Dafür folgendes:

Solange selbst an der Uni das Thema “Security” in der Softwareentwicklung überhaupt keine Rolle spielt, darf man sich nicht wundern dass solche grundlegenden Sicherheitslücken immer wieder in Web Seiten auftauchen.

Technorati Tags: Security,SQL Injection

Kategorien: .NET | Meinung | Security

Comments [2] | Trackback
Related posts:
.NET User Group in Bielefeld am 21.06.2010
Warum ich nicht mehr bei Aral/BP tanke
dotnet Cologne 2010
Ressourcen zum Einstieg in die .NET Entwicklung
Lokalisierung von WPF Anwendungen: Die Lokalisierungs-API
Lokalisierung von WPF Anwendungen: Einführung

Saturday, July 05, 2008 7:19:40 PM (W. Europe Daylight Time, UTC+02:00)

Ich habe seinerzeit einen umfangreichen Mailverkehr mit dem zuständigen Prof nach dieser Folie gehabt. Er hat dann anschließend in der nächsten Vorlesung noch eine Folie nachgeschoben, die zeigte, wie man es richtig macht (damals mit SQL Parametern). War mir zu dem Zeitpunkt aber auch total unverständlich, wie man so etwas auf einer Folie zeigen kann, vor allem da man ja davon ausgehen sollte, dass die gezeigten Befehle "Best Practises" sind.

Lars

Sunday, July 06, 2008 1:03:25 PM (W. Europe Daylight Time, UTC+02:00)

Dabei wäre es ja so einfach. Zumindest im .NET Umfeld.
Man nutze doch einfach und überall Parameter im SQL.
Geht einfach und macht sicher nicht mehr arbeit.

GENiALi

Comments are closed.

Über mich

Ich unterrichte als freiberuflicher Microsoft Certified Trainer die neusten Technologien rund um Microsoft .NET und unterstützt Firmen bei der Umsetzung von .NET-Projekten als Berater, Architekt und Entwickler. Als Sprecher, "Instructor-led Lab Presenter" oder "Ask the Expert" bin ich auf zahlreichen nationalen und internationalen Konferenzen wie z.B. TechEd, BASTA! oder ICE anzutreffen. Zusätzlich bin ich in verschiedenen Microsoft Communities engagiert, z.B. als Leiter der Paderborner INETA .NET User Group.

In diesem Blog schreibe ich über Themen rund um .NET, Microsoft und Microsoft Communities, aber auch über einige eher private Dinge.