Möchten Sie mit Ihrem Team teilnehmen? Profitieren Sie von unseren Gruppenrabatten! Schreiben Sie an events@dpunkt.de

Angriffe mittels JDBC Connectors: Connect here to get pwned

Die JDBC-API (Java Database Connectivity) bietet eine allgemeine API zur Kommunikation mit SQL-Datenbanken. Ein Angreifer, der in der Lage ist, zum Aufbau einer Verbindung verwendeten Parameter zu kontrollieren – beispielsweise um eine Datenbankverbindung zu einem von ihm kontrollierten Datenbankserver aufzubauen – kann verschiedene Features von gängigen JDBC-Konnektoren verwenden, um die Applikation zu kompromittieren und beispielsweise eigenen Code auf dem Server auszuführen.

Der Vortrag hat folgenden Aufbau:
  1. Erläuterung des grundlegenden Ablauf eines entsprechenden Angriffes.
  2. Schilderung, wo diese Schwachstelle auftreten kann, wobei dies mit praktischen Beispielen veranschaulicht wird.
  3. Demonstration von Features in JDBC Connectors und wie diese von Angreifern missbraucht werden können.
  4. Diskussion möglicher Abwehrmaßnahmen.

Vorkenntnisse

Java-Grundlagen

Lernziele

  • Wie kann ein Angreifer, der in der Lage ist, eine JDBC-Verbindung des Systems zu kontrollieren, diese dazu nutzen, um ein System zu kompromittieren.
  • Was kann man dagegen tun?

Speaker

 

Hans-Martin Münch
Hans-Martin Münch ist Geschäftsführer der MOGWAI LABS GmbH, einem auf die Durchführung von technischen Security Audits und Penetrationstests spezialisierten Unternehmen. Er beschäftigt sich seit mehreren Jahren aktiv mit dem Thema "Offensive Java".

Gold-Sponsoren

CyberRes
securai
SignPath
WIBU Systems

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden