Angriffe mittels JDBC Connectors: Connect here to get pwned

Die JDBC-API (Java Database Connectivity) bietet eine allgemeine API zur Kommunikation mit SQL-Datenbanken. Ein Angreifer, der in der Lage ist, zum Aufbau einer Verbindung verwendeten Parameter zu kontrollieren – beispielsweise um eine Datenbankverbindung zu einem von ihm kontrollierten Datenbankserver aufzubauen – kann verschiedene Features von gängigen JDBC-Konnektoren verwenden, um die Applikation zu kompromittieren und beispielsweise eigenen Code auf dem Server auszuführen.

Der Vortrag hat folgenden Aufbau:

1. Erläuterung des grundlegenden Ablauf eines entsprechenden Angriffes.
   
2. Schilderung, wo diese Schwachstelle auftreten kann, wobei dies mit praktischen Beispielen veranschaulicht wird.
   
3. Demonstration von Features in JDBC Connectors und wie diese von Angreifern missbraucht werden können.
   
4. Diskussion möglicher Abwehrmaßnahmen.

Vorkenntnisse

Java-Grundlagen

Lernziele

• Wie kann ein Angreifer, der in der Lage ist, eine JDBC-Verbindung des Systems zu kontrollieren, diese dazu nutzen, um ein System zu kompromittieren.
  
• Was kann man dagegen tun?