Angriffe mittels JDBC Connectors: Connect here to get pwned
Die JDBC-API (Java Database Connectivity) bietet eine allgemeine API zur Kommunikation mit SQL-Datenbanken. Ein Angreifer, der in der Lage ist, zum Aufbau einer Verbindung verwendeten Parameter zu kontrollieren – beispielsweise um eine Datenbankverbindung zu einem von ihm kontrollierten Datenbankserver aufzubauen – kann verschiedene Features von gängigen JDBC-Konnektoren verwenden, um die Applikation zu kompromittieren und beispielsweise eigenen Code auf dem Server auszuführen.
Der Vortrag hat folgenden Aufbau:
- Erläuterung des grundlegenden Ablauf eines entsprechenden Angriffes.
- Schilderung, wo diese Schwachstelle auftreten kann, wobei dies mit praktischen Beispielen veranschaulicht wird.
- Demonstration von Features in JDBC Connectors und wie diese von Angreifern missbraucht werden können.
- Diskussion möglicher Abwehrmaßnahmen.
Vorkenntnisse
Java-Grundlagen
Lernziele
- Wie kann ein Angreifer, der in der Lage ist, eine JDBC-Verbindung des Systems zu kontrollieren, diese dazu nutzen, um ein System zu kompromittieren.
- Was kann man dagegen tun?