Jeden Tag eine App
…
continue reading
Inhalt bereitgestellt von Wolfgang Gassler, Andy Grunwald, Wolfgang Gassler, and Andy Grunwald. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Wolfgang Gassler, Andy Grunwald, Wolfgang Gassler, and Andy Grunwald oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.
Ähnelt Engineering Kiosk
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
Neue Produkte und Trends aus Computertechnik und Telekommunikation: Was bringen uns die neuen Technologien? Was gibt es Spannendes im Netz? Eine Orientierung im Dschungel der Bits und Bytes. "Das Computermagazin" - Ein gemeinsames Magazin der Redaktionen Wissenschaft, Wirtschaft und Zündfunk.
…
continue reading
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
Menschen! Technik! Sensationen!
…
continue reading
In dieser Serie diskutieren wir interessante Themen aus Software-Entwicklung und -Architektur – immer mit dem Fokus auf Praxistauglichkeit.
…
continue reading
Der abwechslungsreichste Spiele-Podcast der Welt. Mit Anne, Micha, Manu, Nina und illustren Gästen aus der Videospielbranche. Meinungen, Interviews und Croissants.
…
continue reading
Helden der Computerspiele-Berichterstattung plaudern über historische und aktuelle Themen
…
continue reading
Immer donnerstags live um 17 Uhr sprechen Anna Kalinowsky, Malte Kirchner und Volker Zota von heise online bei YouTube über die Tech-Themen der Woche. Zum Nachhören gibt es die #heiseshow auch als Podcast.
…
continue reading
Das monatliche Radio des Chaos Computer Club Berlin
…
continue reading
Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Gehen Sie mit der App Player FM offline!
))
#41 SQL Injections - Ein unterschätztes Risiko
Manage episode 351356197 series 3432292
Inhalt bereitgestellt von Wolfgang Gassler, Andy Grunwald, Wolfgang Gassler, and Andy Grunwald. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Wolfgang Gassler, Andy Grunwald, Wolfgang Gassler, and Andy Grunwald oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.
SQL Injections: Eine der weitverbreitetsten Sicherheitslücken im Web, auch im Jahr 2022
Der Großteil aller Applikationen interagiert in irgendeiner Art und Weise mit einer Datenbank. Deswegen werden die meisten Entwicklerinnen und Entwickler bereits von der Sicherheitslücke "SQL Injection" gehört haben. Seit 24 Jahren ist dies eine der weitverbreitetsten Sicherheitslücken im Internet und es ist kein Ende in Sicht. Was ist eigentlich eine SQL-Injection im Detail? Welche verschiedenen Arten gibt es? Was ist der Grund, dass uns dieses Einfallstor so lange beschäftigt? Woher kommt diese und wer hat sie entdeckt? Wie kann man sich schützen und seine Anwendung ausreichend testen? All das und noch viel mehr in dieser Episode.
Bonus: Der Kontrast zwischen Duisburg und Berlin und wie die SQL-Injektion als Nebenprodukt entdeckt wurde.
Feedback (gerne auch als Voice Message)
- Email: stehtisch@engineeringkiosk.dev
- Twitter: https://twitter.com/EngKiosk
- WhatsApp +49 15678 136776
Gerne behandeln wir auch euer Audio Feedback in einer der nächsten Episoden, einfach Audiodatei per Email oder WhatsApp Voice Message an +49 15678 136776
Links
- Phrack Magazine Volume 8, Issue 54 Dec 25th, 1998, article 08 of 12: http://www.phrack.org/archives/issues/54/8.txt
- OWASP Top Ten 2021: https://owasp.org/www-project-top-ten/
- CVE Details - Security Vulnerabilities Published In 2022(SQL Injection): https://www.cvedetails.com/vulnerability-list/year-2022/opsqli-1/sql-injection.html
- Analyzing Prepared Statement Performance: https://orangematter.solarwinds.com/2014/11/19/analyzing-prepared-statement-performance/
- SQL Injection Prevention Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html
- OWASP Top 10 (2021) - A03:2021 – Injection: https://owasp.org/Top10/A03_2021-Injection/
- CVE Details - Heartbleed (CVE-2014-0160): https://www.cvedetails.com/cve/CVE-2014-0160/
- CVE Details - Log4Shell (CVE-2021-44228): https://www.cvedetails.com/cve/CVE-2021-44228/
- xkcd "Exploits of a Mom": https://xkcd.com/327/
- HackerOne-Programm von trivago: https://hackerone.com/trivago
- Owncloud: https://owncloud.com/
- TYPO3: https://typo3.org/
- Wordpress: https://wordpress.com/de/
- SQL-Proxy: https://github.com/sysown/proxysql
- GitHub CodeQL: https://codeql.github.com/
- sqlmap: https://sqlmap.org/
- SQLi-Fuzzer: A SQL Injection Vulnerability Discovery Framework Based on Machine Learning: https://ieeexplore.ieee.org/document/9657925
- OWASP Zed Attack Proxy (ZAP): https://www.zaproxy.org/
- PlanetScale: https://planetscale.com/
- Awesome static analysis: https://github.com/analysis-tools-dev/static-analysis
Sprungmarken
(00:00:00) Intro
(00:00:42) SQL-Injections aus den 90ern und die Vielfalt in Berlin
(00:02:49) Das heutige Thema: Web-Security SQL-Injections in der Tiefe
(00:05:07) Was sind SQL-Injections?
(00:08:48) Sind SQL-Injections auch im Jahr 2022 noch ein Problem?
(00:10:56) Wann gab es die erste SQL-Injection? Woher stammt diese Sicherheitslücke?
(00:13:22) Was sind die Gründe, dass SQL-Injections noch so ein großes Problem sind?
(00:19:37) Verschiedene Arten von SQL-Injections: Output-Based, Error-Based, Blind-SQL-Injections, Time-Based-SQL-Injections, Out-of-Band-SQL-Injections
(00:27:42) Bug Bounty: 2-Channel SQL Injection-Attacke in Kombination mit Cross-Site-Scripting (XSS) bei trivago
(00:29:42) Mehrstufige Attacken und Ausnutzung mehrerer Lücken nacheinander
(00:33:16) Möglicher Schaden durch eine SQL-Injection: Daten verändern, Befehle auf dem Server ausführen, lokale Dateien lesen und schreiben, SQL-Funktionen ausführen, Denial of Service (DoS)
(00:39:09) Gegenmaßnahmen um SQL-Injections zu verhindern: Prepared Statements, Datenbank-Komponenten updaten, limitierte Rechte für Datenbank-User, Web Application Firewalls (WAF)
(00:56:42) Möglichkeiten um deine Anwendung automatisch zu testen: Unit-Tests, statische Analyse, dynamische Analyse mit sqlmap und Fuzzing
(01:02:51) Maßnahmen um Sicherheit zu gewährleisten von Datenbank as a Service-Providern
(01:06:51) Outro
Hosts
- Wolfgang Gassler (https://twitter.com/schafele)
- Andy Grunwald (https://twitter.com/andygrunwald)
Feedback (gerne auch als Voice Message)
- Email: stehtisch@engineeringkiosk.dev
- Twitter: https://twitter.com/EngKiosk
- WhatsApp +49 15678 136776
122 Episoden
Teilen
Manage episode 351356197 series 3432292
Inhalt bereitgestellt von Wolfgang Gassler, Andy Grunwald, Wolfgang Gassler, and Andy Grunwald. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von Wolfgang Gassler, Andy Grunwald, Wolfgang Gassler, and Andy Grunwald oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.
SQL Injections: Eine der weitverbreitetsten Sicherheitslücken im Web, auch im Jahr 2022
Der Großteil aller Applikationen interagiert in irgendeiner Art und Weise mit einer Datenbank. Deswegen werden die meisten Entwicklerinnen und Entwickler bereits von der Sicherheitslücke "SQL Injection" gehört haben. Seit 24 Jahren ist dies eine der weitverbreitetsten Sicherheitslücken im Internet und es ist kein Ende in Sicht. Was ist eigentlich eine SQL-Injection im Detail? Welche verschiedenen Arten gibt es? Was ist der Grund, dass uns dieses Einfallstor so lange beschäftigt? Woher kommt diese und wer hat sie entdeckt? Wie kann man sich schützen und seine Anwendung ausreichend testen? All das und noch viel mehr in dieser Episode.
Bonus: Der Kontrast zwischen Duisburg und Berlin und wie die SQL-Injektion als Nebenprodukt entdeckt wurde.
Feedback (gerne auch als Voice Message)
- Email: stehtisch@engineeringkiosk.dev
- Twitter: https://twitter.com/EngKiosk
- WhatsApp +49 15678 136776
Gerne behandeln wir auch euer Audio Feedback in einer der nächsten Episoden, einfach Audiodatei per Email oder WhatsApp Voice Message an +49 15678 136776
Links
- Phrack Magazine Volume 8, Issue 54 Dec 25th, 1998, article 08 of 12: http://www.phrack.org/archives/issues/54/8.txt
- OWASP Top Ten 2021: https://owasp.org/www-project-top-ten/
- CVE Details - Security Vulnerabilities Published In 2022(SQL Injection): https://www.cvedetails.com/vulnerability-list/year-2022/opsqli-1/sql-injection.html
- Analyzing Prepared Statement Performance: https://orangematter.solarwinds.com/2014/11/19/analyzing-prepared-statement-performance/
- SQL Injection Prevention Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html
- OWASP Top 10 (2021) - A03:2021 – Injection: https://owasp.org/Top10/A03_2021-Injection/
- CVE Details - Heartbleed (CVE-2014-0160): https://www.cvedetails.com/cve/CVE-2014-0160/
- CVE Details - Log4Shell (CVE-2021-44228): https://www.cvedetails.com/cve/CVE-2021-44228/
- xkcd "Exploits of a Mom": https://xkcd.com/327/
- HackerOne-Programm von trivago: https://hackerone.com/trivago
- Owncloud: https://owncloud.com/
- TYPO3: https://typo3.org/
- Wordpress: https://wordpress.com/de/
- SQL-Proxy: https://github.com/sysown/proxysql
- GitHub CodeQL: https://codeql.github.com/
- sqlmap: https://sqlmap.org/
- SQLi-Fuzzer: A SQL Injection Vulnerability Discovery Framework Based on Machine Learning: https://ieeexplore.ieee.org/document/9657925
- OWASP Zed Attack Proxy (ZAP): https://www.zaproxy.org/
- PlanetScale: https://planetscale.com/
- Awesome static analysis: https://github.com/analysis-tools-dev/static-analysis
Sprungmarken
(00:00:00) Intro
(00:00:42) SQL-Injections aus den 90ern und die Vielfalt in Berlin
(00:02:49) Das heutige Thema: Web-Security SQL-Injections in der Tiefe
(00:05:07) Was sind SQL-Injections?
(00:08:48) Sind SQL-Injections auch im Jahr 2022 noch ein Problem?
(00:10:56) Wann gab es die erste SQL-Injection? Woher stammt diese Sicherheitslücke?
(00:13:22) Was sind die Gründe, dass SQL-Injections noch so ein großes Problem sind?
(00:19:37) Verschiedene Arten von SQL-Injections: Output-Based, Error-Based, Blind-SQL-Injections, Time-Based-SQL-Injections, Out-of-Band-SQL-Injections
(00:27:42) Bug Bounty: 2-Channel SQL Injection-Attacke in Kombination mit Cross-Site-Scripting (XSS) bei trivago
(00:29:42) Mehrstufige Attacken und Ausnutzung mehrerer Lücken nacheinander
(00:33:16) Möglicher Schaden durch eine SQL-Injection: Daten verändern, Befehle auf dem Server ausführen, lokale Dateien lesen und schreiben, SQL-Funktionen ausführen, Denial of Service (DoS)
(00:39:09) Gegenmaßnahmen um SQL-Injections zu verhindern: Prepared Statements, Datenbank-Komponenten updaten, limitierte Rechte für Datenbank-User, Web Application Firewalls (WAF)
(00:56:42) Möglichkeiten um deine Anwendung automatisch zu testen: Unit-Tests, statische Analyse, dynamische Analyse mit sqlmap und Fuzzing
(01:02:51) Maßnahmen um Sicherheit zu gewährleisten von Datenbank as a Service-Providern
(01:06:51) Outro
Hosts
- Wolfgang Gassler (https://twitter.com/schafele)
- Andy Grunwald (https://twitter.com/andygrunwald)
Feedback (gerne auch als Voice Message)
- Email: stehtisch@engineeringkiosk.dev
- Twitter: https://twitter.com/EngKiosk
- WhatsApp +49 15678 136776
122 Episoden
Alle Folgen
×
Willkommen auf Player FM!
Player FM scannt gerade das Web nach Podcasts mit hoher Qualität, die du genießen kannst. Es ist die beste Podcast-App und funktioniert auf Android, iPhone und im Web. Melde dich an, um Abos geräteübergreifend zu synchronisieren.
Ähnelt Engineering Kiosk
Jeden Tag eine App
…
continue reading
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
Neue Produkte und Trends aus Computertechnik und Telekommunikation: Was bringen uns die neuen Technologien? Was gibt es Spannendes im Netz? Eine Orientierung im Dschungel der Bits und Bytes. "Das Computermagazin" - Ein gemeinsames Magazin der Redaktionen Wissenschaft, Wirtschaft und Zündfunk.
…
continue reading
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
Menschen! Technik! Sensationen!
…
continue reading
In dieser Serie diskutieren wir interessante Themen aus Software-Entwicklung und -Architektur – immer mit dem Fokus auf Praxistauglichkeit.
…
continue reading
Der abwechslungsreichste Spiele-Podcast der Welt. Mit Anne, Micha, Manu, Nina und illustren Gästen aus der Videospielbranche. Meinungen, Interviews und Croissants.
…
continue reading
Helden der Computerspiele-Berichterstattung plaudern über historische und aktuelle Themen
…
continue reading
Immer donnerstags live um 17 Uhr sprechen Anna Kalinowsky, Malte Kirchner und Volker Zota von heise online bei YouTube über die Tech-Themen der Woche. Zum Nachhören gibt es die #heiseshow auch als Podcast.
…
continue reading
Das monatliche Radio des Chaos Computer Club Berlin
…
continue reading
Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Gehen Sie mit der App Player FM offline!
