Schutz von Webshops und E-Commerce-Lösungen

Wie lassen sich Session-Hijacking und SQL-Injection verhindern?

Viele Web-Applikationen arbeiten mit Sessions, um den Nutzer nach dem Einloggen zu identifizieren. Hier hat sich der Gebrauch von GUIDs (Globally Unique Identifiers) bewährt. Dabei handelt es sich um eine 32-stellige alphanumerische Zeichenkette, die das Identifizieren der Session-ID durch Ausschnüffeln (Session-Hijacking) praktisch unmöglich macht.

Ein großer Teil der Web-Anwendungen greift auf eine SQL-Datenbank zurück. Das als SQL-Injection bezeichnete Einschleusen oder Manipulieren von SQL-Kommandos ist derzeit die von Hackern am häufigsten genutzte Angriffstechnik auf Anwendungsebene. Besonders anfällig sind fehlerhaft konzipierte Websites, deren Datenbankschnittstellen unnötig Informationen preisgeben.

Solche Schwachstellen finden sich vor allem in Anmeldeformularen oder Formularen zur Anforderung vergessener Passwörter. Um SQL-Injection vorzubauen, sollten sämtliche Zugriffe auf die Datenbank von der Web-Anwendung aus nur über so genannte Prepared Statements oder besser Stored Procedures erfolgen. Der direkte Einsatz von SQL-Befehlen hingegen sollte möglichst vermieden werden.