Scanner für SQL-Injection-Schwachstellen

SQL Injection Attack (SQLIA) ist einer der schwersten Angriffe, die gegen datenbankgestützte Webanwendungen eingesetzt werden können. Angreifer nutzen SQLIA, um sich unbefugten Zugriff zu verschaffen und unbefugte Datenänderungen vorzunehmen, die auf eine unsachgemäße Eingabevalidierung durch die Entwickler von Webanwendungen zurückzuführen sind. Verschiedene Studien haben gezeigt, dass durchschnittlich 64 % der weltweiten Webanwendungen aufgrund ihrer Anfälligkeit für SQLIA-Angriffe anfällig sind. Um das verheerende Problem von SQLIA zu entschärfen, wurde in dieser Studie ein automatischer dynamischer SQL-Injection-Schwachstellen-Scanner (SQLIVS) vorgeschlagen, der die Bewertung von SQLI-Schwachstellen automatisiert, die zu SQLIA führen. Jüngste Studien zeigen, dass die Effektivität bestehender SQLIVS verbessert werden muss, um die Kosten für die manuelle Überprüfung von Schwachstellen und das Risiko eines Angriffs aufgrund falsch negativer und falsch positiver Ergebnisse, die vom SQLIV-Scanner gemeldet werden, zu reduzieren. Die Forschung konzentriert sich auf die Verbesserung der Effektivität von SQLIVS, indem sie einen objektorientierten Ansatz bei der Entwicklung von SQLIVS vorschlägt, um die Kontrolle von falsch positiven und falsch negativen Ergebnissen zu unterstützen und den Raum für die Verbesserung des vorgeschlagenen Scanners durch die potenziellen Forscher zu schaffen.

Autorentext

Muhammad Saidu Aliero - Título de Máster en Informática (Seguridad de la Información), Facultad de Informática, Universiti Teknologi Malaysia.