Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Angriffe mittels JDBC Connectors: Connect here to get pwned

Die JDBC-API (Java Database Connectivity) bietet eine allgemeine API zur Kommunikation mit SQL-Datenbanken. Ein Angreifer, der in der Lage ist, zum Aufbau einer Verbindung verwendeten Parameter zu kontrollieren – beispielsweise um eine Datenbankverbindung zu einem von ihm kontrollierten Datenbankserver aufzubauen – kann verschiedene Features von gängigen JDBC-Konnektoren verwenden, um die Applikation zu kompromittieren und beispielsweise eigenen Code auf dem Server auszuführen.

Der Vortrag hat folgenden Aufbau:
  1. Erläuterung des grundlegenden Ablauf eines entsprechenden Angriffes.
  2. Schilderung, wo diese Schwachstelle auftreten kann, wobei dies mit praktischen Beispielen veranschaulicht wird.
  3. Demonstration von Features in JDBC Connectors und wie diese von Angreifern missbraucht werden können.
  4. Diskussion möglicher Abwehrmaßnahmen.

Vorkenntnisse

Java-Grundlagen

Lernziele

  • Wie kann ein Angreifer, der in der Lage ist, eine JDBC-Verbindung des Systems zu kontrollieren, diese dazu nutzen, um ein System zu kompromittieren.
  • Was kann man dagegen tun?

Speaker

 

Hans-Martin Münch
Hans-Martin Münch ist Geschäftsführer der MOGWAI LABS GmbH, einem auf die Durchführung von technischen Security Audits und Penetrationstests spezialisierten Unternehmen. Er beschäftigt sich seit mehreren Jahren aktiv mit dem Thema "Offensive Java".

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden