Injection-Angriffe
Injection-Angriffe (Grundlagen)
Jede Software nimmt Benutzerdaten entgegen
- Such-Anfragen
- Formulardaten
- Passwörter
- Dateinamen
- Nachrichten (REST, Web-Services)
- Konfigurationseinstellungen
- …
Programmierer treffen Annahmen über das Format von eingegebenen Daten
- Applikationen sollten niemals Daten von außen trauen
- Applikationen müssen mit unerwarteten Daten umgehen können
Sicherheitsprobleme entstehen, wenn
- Eingabedaten mit aktiven Teilen der Software gemischt werden
- die Daten nicht vorher überprüft werden
Grundlegende Regel
Assumption is the mother of screw-up.
Angelo Donghia (Interior Designer), 1935–1985
Angelo Donghia (Interior Designer), 1935–1985