De juiste aandacht voor uw informatiebeveiliging™

Wat is MySQL-injectie

En wat doet Secwatch voor u om het te voorkomen

Wat is MySQL-injectie

WebApplicaties maken voor het overgrote deel gebruik van de MySQL Database software. De databases worden gevuld met gegevens uit web formulieren. In programmatuur is het heel makkelijk om de gegevens uit het formulier rechtstreeks in de database te zetten. Het zal een ieder verbazen hoeveel applicaties er zijn die geen controle uitvoeren op deze gegevens voordat ze opgeslagen worden.


Wat is een MySQL Injection

Interesse in een klein beetje techniek?

Uit het formulier komt een wachtwoord terug. Mooi in sterretjes getoond door de browser, netjes met SSL (HTTPS) verkeer doorgegeven aan de server. Vervolgens is er het SQL-commando in de programmatuur dat er als volgt uit ziet:

select username, password
from usertable
where (username = ''$username'') and (password = ''$password'');

Als dit commando iets teruggeeft, is username en password correct en is de gebruiker ingelogd.

Dat werkt prima als u als wachtwoord opgeeft:

geheim123

Maar wat nou als u als wachtwoord opgeeft:

weeikniet'' OR ''x'' = ''x

Het commando in de programmatuur wordt dan:

select username, password
from usertable
where (username = ''piet'') and (password = ''weeikniet'' OR ''x'' = ''x'');

Een correct MySQL commando en elke gebruiker, die op de hoogte is van de username ”piet”, heeft hiermee toegang.

En dit is nog maar 1 van de meest simpele vormen van MySQL Injection


Secwatch heeft verstand van MySQL Injections

Secwatch voert MySQL Injection controles uit in het kader van haar Web Application Scan dienstverlening. De Web Application Scan voert nog veel meer controles uit, MySQL Injection daar één van.

“Door het SECWATCH-klantenrapport kan men nu aan de klanten laten zien dat het bedrijf vertrouwelijk en integer met de klantgegevens omgaat.”

- Directeur aanbieder Cloud-dienst met meer dan 250 klanten