Buchbesprechung: SQL Hacking


 
Autor:Justin Clarke et al.
Verlag:Franzis
Preis:40 Euro
ISBN:3645604669

Jetzt bei Terrashop bestellen

Jetzt bei Amazon bestellen

So populär SQL-Datenbanken sind, lassen sich ebendiese Datenbanken von Angreifern aus dem Tritt bringen, mit unschönen Folgen. So ist es möglich, an vertrauliche Informationen zu gelangen oder gar Inhalte zu manipulieren. SQL-Injections nennt sich die dahinterliegende Angriffstechnik. Ein ganzes Autorenteam, bestehend aus sage und schreibe elf Experten, beleuchtet unter Leitung von Justin Clarke im knapp 700- seitigen Buch "SQL Hacking" die Sicherheit von SQL-Datenbanken. Dabei beschreiben sie nicht nur, wie Angreifer vorgehen, sondern zeigen auch praxisnahe Wege auf, um Lücken zu schließen – für Webprogrammierer wie für Admins.

Den Anfang macht die Frage, was SQL-Injections überhaupt sind und wie sie sich auf Webanwendungen samt dahinterliegenden Datenbanken auswirken. Einfach gehaltene Code-Beispiele verdeutlichen die Theorie, die sogar zum Ausprobieren einladen – natürlich nur gegen den eigenen SQL-Server. Nach dem Aufstöbern von Schwachstellen folgt das Schließen der Lücken. Kapitel 3 richtet sich hierfür an Programmierer und erläutert, wie sich Quellcode auf Anfälligkeiten für SQL-Injections untersuchen lässt. Auch erlaubt nicht jede Organisation, Attacken auf die eigene Produktivdatenbank zu fahren. Der Fokus liegt dabei auf Schwachstellen, die sich über Daten aus nicht vertrauenswürdigen Quellen – also von außen – ausnutzen lassen.

Glücklicherweise behandeln die Autoren nicht nur die statische, sondern auch die automatisierte Codeanalyse. Sind Lücken aufgetaucht, geht es in den nachfolgenden Kapiteln ans Eingemachte: Dem zielgerichteten Ausnutzen. Den Anfang macht das Ergattern von Informationen zum Datenbanksystem, gefolgt von Rechteerhöhungen und dem Stehlen von Passwörtern. Auch Angriffe auf das zugrundeliegende Betriebssystem bleiben nicht aus. Das letzte Drittel des Buchs zeigt schließlich mögliche Schutzmaßnahmen, sowohl auf Codeebene als auch auf Plattformebene. Letzteres ist besonders für Admins interessant und behandelt Themen wie Firewalls und Filter sowie sichere Konfigurationen.

Fazit: In dem Buch "SQL Hacking" erklärt das Autorenteam um Justin Clarke, wie SQL-Angriffe funktionieren, und vor allen Dingen, wie sich Programmierer und Admins davor schützen. Geschrieben ist das Buch verständlich, alle Kapitel werden am Ende durch Zusammenfassungen und kurze Stichpunkte abgerundet. (Daniel Richey)