Engineering Kiosk

Engineering Kiosk

Der Engineering Kiosk ist der deutschsprachige Software-Engineering-Podcast mit Wolfgang Gassler und Andy Grunwald rund um die Themen Engineering-Kultur, Open Source, Menschen, Technologie und allen anderen Bereichen, die damit in Verbindung stehen.Wir, Wolfgang Gassler und Andy Grunwald, sind beide Software Engineers und Engineering Manager, die sich bei ihrer beruflichen Laufbahn bei @trivago kennengelernt haben.Zusammen bringen sie über 30 Jahre Tech-Erfahrung an das Mikrofon und lassen dabei zwei Welten aufeinander prallen: Die Österreichische und akademische Welt von Wolfgang mit der praktischen und deutschen Ruhrpottschnauze von Andy.Ziel des Podcasts ist der Austausch zu (Senior) Engineering Themen und ggf. etwas Selbsttherapie ????Dieser Podcast ist für alle Software Engineers und -Enwickler, Teamleads, Open-Source- und Indie Hacker, Leute aus dem Tech-Sektor (Product Manager, Data Scientist, etc.) und alle weiteren Engineering-Interessierten.Feedback an stehtisch@engineeringkiosk.dev oder über Twitter @EngKiosk ( https://twitter.com/EngKiosk )

https://redcircle.com/shows/engineeringkiosk

Technology
subscribe
share






claim!
report

episode 41: #41 SQL Injections - Ein unterschätztes Risiko

SQL Injections: Eine der weitverbreitetsten Sicherheitslücken im Web, auch im Jahr 2022

Der Großteil aller Applikationen interagiert in irgendeiner Art und Weise mit einer Datenbank. Deswegen werden die meisten Entwicklerinnen und Entwickler bereits von der Sicherheitslücke "SQL Injection" gehört haben. Seit 24 Jahren ist dies eine der weitverbreitetsten Sicherheitslücken im Internet und es ist kein Ende in Sicht. Was ist eigentlich eine SQL-Injection im Detail? Welche verschiedenen Arten gibt es? Was ist der Grund, dass uns dieses Einfallstor so lange beschäftigt? Woher kommt diese und wer hat sie entdeckt? Wie kann man sich schützen und seine Anwendung ausreichend testen? All das und noch viel mehr in dieser Episode.

Bonus: Der Kontrast zwischen Duisburg und Berlin und wie die SQL-Injektion als Nebenprodukt entdeckt wurde.


Feedback (gerne auch als Voice Message)

  • Email: stehtisch@engineeringkiosk.dev
  • Twitter: https://twitter.com/EngKiosk
  • WhatsApp +49 15678 136776


Gerne behandeln wir auch euer Audio Feedback in einer der nächsten Episoden, einfach Audiodatei per Email oder WhatsApp Voice Message an +49 15678 136776


Links
  • Phrack Magazine Volume 8, Issue 54 Dec 25th, 1998, article 08 of 12: http://www.phrack.org/archives/issues/54/8.txt
  • OWASP Top Ten 2021: https://owasp.org/www-project-top-ten/
  • CVE Details - Security Vulnerabilities Published In 2022(SQL Injection): https://www.cvedetails.com/vulnerability-list/year-2022/opsqli-1/sql-injection.html
  • Analyzing Prepared Statement Performance: https://orangematter.solarwinds.com/2014/11/19/analyzing-prepared-statement-performance/
  • SQL Injection Prevention Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html
  • OWASP Top 10 (2021) - A03:2021 – Injection: https://owasp.org/Top10/A03_2021-Injection/
  • CVE Details - Heartbleed (CVE-2014-0160): https://www.cvedetails.com/cve/CVE-2014-0160/
  • CVE Details - Log4Shell (CVE-2021-44228): https://www.cvedetails.com/cve/CVE-2021-44228/
  • xkcd "Exploits of a Mom": https://xkcd.com/327/
  • HackerOne-Programm von trivago: https://hackerone.com/trivago
  • Owncloud: https://owncloud.com/
  • TYPO3: https://typo3.org/
  • Wordpress: https://wordpress.com/de/
  • SQL-Proxy: https://github.com/sysown/proxysql
  • GitHub CodeQL: https://codeql.github.com/
  • sqlmap: https://sqlmap.org/
  • SQLi-Fuzzer: A SQL Injection Vulnerability Discovery Framework Based on Machine Learning: https://ieeexplore.ieee.org/document/9657925
  • OWASP Zed Attack Proxy (ZAP): https://www.zaproxy.org/
  • PlanetScale: https://planetscale.com/
  • Awesome static analysis: https://github.com/analysis-tools-dev/static-analysis


Sprungmarken

(00:00:00) Intro

(00:00:42) SQL-Injections aus den 90ern und die Vielfalt in Berlin

(00:02:49) Das heutige Thema: Web-Security SQL-Injections in der Tiefe

(00:05:07) Was sind SQL-Injections?

(00:08:48) Sind SQL-Injections auch im Jahr 2022 noch ein Problem?

(00:10:56) Wann gab es die erste SQL-Injection? Woher stammt diese Sicherheitslücke?

(00:13:22) Was sind die Gründe, dass SQL-Injections noch so ein großes Problem sind?

(00:19:37) Verschiedene Arten von SQL-Injections: Output-Based, Error-Based, Blind-SQL-Injections, Time-Based-SQL-Injections, Out-of-Band-SQL-Injections

(00:27:42) Bug Bounty: 2-Channel SQL Injection-Attacke in Kombination mit Cross-Site-Scripting (XSS) bei trivago

(00:29:42) Mehrstufige Attacken und Ausnutzung mehrerer Lücken nacheinander

(00:33:16) Möglicher Schaden durch eine SQL-Injection: Daten verändern, Befehle auf dem Server ausführen, lokale Dateien lesen und schreiben, SQL-Funktionen ausführen, Denial of Service (DoS)

(00:39:09) Gegenmaßnahmen um SQL-Injections zu verhindern: Prepared Statements, Datenbank-Komponenten updaten, limitierte Rechte für Datenbank-User, Web Application Firewalls (WAF)

(00:56:42) Möglichkeiten um deine Anwendung automatisch zu testen: Unit-Tests, statische Analyse, dynamische Analyse mit sqlmap und Fuzzing

(01:02:51) Maßnahmen um Sicherheit zu gewährleisten von Datenbank as a Service-Providern

(01:06:51) Outro


Hosts
  • Wolfgang Gassler (https://twitter.com/schafele)
  • Andy Grunwald (https://twitter.com/andygrunwald)


Feedback (gerne auch als Voice Message)
  • Email: stehtisch@engineeringkiosk.dev
  • Twitter: https://twitter.com/EngKiosk
  • WhatsApp +49 15678 136776

fyyd: Podcast Search Engine
share








 October 18, 2022  1h8m