F

SQL-Injection-Angriffe verhindern bei Outsourcing der Entwicklung

Gegen SQLi-Angriffe (SQL Injection) kann man sich wehren. Das ist nicht nur allgemein wichtig, sondern besonders beim Outsourcing von Entwicklern.

Eine kürzlich vom Ponemon Institute veröffentlichte Studie besagt, dass 65 Prozent der Befragten im vergangenen Jahr mit SQL-Injection-Angriffen zu tun hatten. Allerdings würden nur wenige Unternehmen genug tun, um das zu verhindern. Wir setzen bei der Entwicklung viel auf Outsourcing. Allerdings ist es schwierig zu garantieren, dass diese Entwickler auch sorgfältige und regelmäßige Code-Audits während der QA (Quality Assurance / Qualitätssicherung) durchführen. Können wir sonst noch irgendetwas mit eingeschränkten Ressourcen tun, um solche SQLi-Angriffe zu vermeiden?

Es gibt einige Tools, mit denen die Skript-Kiddies Massen-Scans hinsichtlich SQLi (SQL Injections) durchführen. Haben es nur 65 Prozent der Firmen mit SQLi-Angriffen zu tun, dann scheint es, dass die anderen 35 Prozent ineffizientes Monitoring in ihren Umgebungen betreiben, um die Angriffe zu identifizieren. Anders gesagt ist eigentlich jedes Unternehmen ein potenzielles Ziel für SQLi-Angriffe.

Es gibt eine ganze Reihe an Fragen, die Sie sich stellen sollten, wenn Sie Entwicklungs-Aufgaben outsourcen:

  • Gibt es irgendwelche Anforderungen zur Sicherheit in den Verträgen mit den Outsourcing-Entwicklern?
  • Gibt es Standards für einen sicheren Entwicklungs-Zyklus, an die sich die Entwickler der Outsourcing-Firma zu halten haben?
  • Wurden die Programmierer geschult zum Thema System-Entwicklungs-Lebenszyklus und wie man sicheren Code schreibt?
  • Kann man die Outsourcing-Entwickler für Fehler in deren Code zur Verantwortung ziehen?

Falls Sie eine dieser Fragen mit „Nein“ beantworten können, sollten Sie in künftigen Verträgen entsprechende Klauseln verankern. Wenn möglich, passen Sie existierende Verträge angemessen an.

Abgesehen von den Outsourcing-Entwicklern und den Antworten auf diese Fragen können Unternehmen immer noch SQLi-Scanner oder andere Tools einsetzen. Damit decken Sie SQLi-Schwachstellen im Software-Entwicklungs-Prozess auf. Auch so verbessern Sie die Qualitätssicherung und im Endeffekt die Sicherheit.

Bei OWASP (Open Web Application Security Project) gibt es ein Cheat Sheet zum Thema SQLi-Prävention, das Unternehmen und Entwicklern hilft, solchen Angriffe entgegenzuwirken. Unternehmen könnten sogar auf die gleichen Tools wie die Skript-Kiddies setzen, um potenziell verwundbaren Code oder anfällige Applikationen aufzuspüren. Sie könnten auch eine statische Code-Analyse durchführen, um die entsprechenden Programme auf mögliche SQLi-Angriffe zu untersuchen. Sobald der Code produktiv eingesetzt wird, hilft vielleicht eine Web Application Firewall. Damit lassen sich potenzielle SQLi-Angriffe blockieren. Auch Funktionen wie IPS (Intrusion Prevention System) oder eine Firewall schützen vor Angriffen.

Artikel wurde zuletzt im November 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close