Auf SQL Injection Testen

Prüfen Sie kostenlos, ob Ihre Webanwendung für SQL Injections anfällig ist. Mit unserem Online-Tool können Sie verschiedene kritische Schwachstellen erkennen und SQLi unter den OWASP Top Ten Web Application Security Risks finden.

SQL Injection Scan durchführen

14-tägige gratis Testversion. Keine Kreditkarte erforderlich.

Automatisierter Online-SaaS-SQLi-Schwachstellen-Scanner
Klassische SQL Injection scannen (In-band SQLi)
Blind SQL Injection scannen (Inferentielle SQL Injection)
Out-of-band SQL Injection scannen

Funktionen

Profitieren Sie von den Funktionen des SQLi Tests

Der automatisierte Scanner deckt SQL-Injection-Schwachstellen auf, indem er einen vollständigen und tiefgehenden Test in Ihrer Webanwendung durchführt. Er verwendet den gleichen BlackBox-Pentesting-Ansatz wie ein menschlicher Pentester. So liefert er Ergebnisse wesentlich schneller und kostengünstiger.

14 Tage gratis testen

Zeitlich Planen

Einen geplanten Scan erstellen

Konfiguration

Konfigurieren Sie Anmeldeinformationen (System und Anwendung)

CI-Integration

Erstellen eines Webhooks und Starten eines Scans über die CI-Integration

Benachrichtigungen erstellen

Chat-Benachrichtigung einbinden (z. B. Slack)

Berichte herunterladen

Erhalten Sie ausführliche Berichte mit Empfehlungen zur Problembehebung

Vorteile

Vorteile des SQL Injection Schwachstellenscans

Herunterladen von Berichte im PDF-, JSON/XML- und CSV-Format und problemloses Weiterleiten an Teammitglieder, Führungskräfte und Kunden ist möglich.
Reduzieren Sie das Risiko, gehackt zu werden, und schützen Sie Ihre Benutzer vor SQL Injections.
Überprüfen Sie die Komponenten von Drittanbietern in Ihrer Webanwendung und bewerten Sie deren Sicherheitsniveau gründlich.
Durchführen automatischer DAST-Scans für HTML-basierte Webanwendungen und JavaScript, AJAX, HTML5, mehrseitige und einseitige Anwendungen sowie APIs möglich.
Integrieren Sie unseren Schwachstellen-Scanner einfach in Ihren Workflow und Ihre Entwicklungspipeline.

Berichte

Ausführliche Berichte über SQLi Schwachstellen

Der SQLi Vulnerability Scanner Bericht zeigt Ihnen, wie unser automatisiertes Tool testet, identifiziert, klassifiziert und Ratschläge zur Behebung von Schwachstellen gibt, während Sie Stunden manueller Sicherheitsprüfungen und Ihr Pentest-Budget sparen.

Bericht holen

Umfassende Ergebnisse zu Schwachstellen

Der Bericht zeigt eine umfassende Übersicht über die Schwachstellen des Scan-Ziels, dem Schweregrad der aufgedeckten Sicherheitslücken und einer Checkliste der ausgenutzten Angriffsvektoren und dem Status der ausgeführten Scanner.

Tipps zur Problembehebung

Jede gefundene Schwachstelle enthält eine Risikoklassifizierung, eine Erklärung und Empfehlungen zur Beseitigung des Problems.

Checkliste der Befunde

Zur einfachen Kennzeichnung der bereits behobenen oder notierten Gefahren.

Kontinuierliche Sicherheit

Weitere Gründe für kontinuierliche SQL Injection Tests

Automatisiertes Pentesting

Führen Sie regelmäßig Black-Box Pentests für Ihre Web-Assets durch und sparen Sie sich die Kosten für unregelmäßige manuelle Penetrationstests.

Cybersecurity-Risikos verringern

Vergleichen Sie Ihre geplante Version mit den OWASP Top 10 und anderen bekannten Sicherheitslücken.

Scans terminieren

Passen Sie das Scannen von Sicherheitslücken an Ihren agilen Entwicklungszyklus an.

Konformität gewährleisten

Scannen Sie jede neue Version vor der Einführung und stellen Sie die Einhaltung von Vorschriften und Standards (HIPAA, GDPR, ISO und viele mehr) sicher.

Sicherheitslücken schneller erkennen

Erkennen und entschärfen Sie Schwachstellen schneller, indem Sie Ihre Web-Assets regelmäßig scannen.

Integrierte Entwicklungspipeline

Integrieren Sie Schwachstellen-Scans in Ihre Entwicklungsprozesse und -umgebung und verlagern Sie die Sicherheit nach links.

Was sind SQL Injections und welche Arten davon gibt es?

Wenn ein Angreifer einen SQL Injection (SQLi)-Angriffsvektor nutzt, beabsichtigt er, den Datenbankserver der Webanwendung mit schädlichen SQL-Anweisungen zu kontrollieren. Dadurch können sie die für den Zugriff auf die Datenbank und den Abruf von Datenbankinhalten erforderlichen Authentifizierungskontrollen umgehen. Dies wird in der Regel von Hackern initiiert, die die Anwendungs-Firewall nach anfälligen Eingabepunkten der Benutzer ausspähen. Sobald sie identifiziert sind, erstellt der Angreifer Eingabeinhalte, die als schädliche Payload bekannt sind, und führt nicht autorisierte SQL-Injection-Befehle in der Back-End-Datenbank aus.

Häufig entwickelte SQL-Injection-Befehle:

Abrufen von Benutzeranmeldeinformationen innerhalb der Datenbank
Auswählen und Ausgeben wichtiger Systemdaten
Anhängen oder Hinzufügen neuer Daten zu einer Datenbank
Löschen von Tabellen und Datensätzen aus der Datenbank
Verwendung des Back-End-Datenbank-Servers für den Zugriff auf das Betriebssystem

Arten von SQLi:

In-band SQLi
Error-based SQLi
Union-based SQLi
Blind SQL Injection/Inferential SQLi
Content-based SQLi
Time-based SQLi
Out-of-Band SQLi

Was ist ein SQL Injection Schwachstellenscanner?

Wir glauben, dass es heutzutage unerlässlich ist, dass jedes Online-Unternehmen einen automatisierten Schwachstellen-Scanner hat. Deshalb haben wir genau das entwickelt! Darüber hinaus wurden Lösungen wie unser SQL-Injection-Scanner entwickelt, um die Sicherheit Ihrer Webanwendungen zu gewährleisten und gleichzeitig den Entwicklern Zeit und den Unternehmen Budget zu sparen.

Wir bieten Ihnen einen einfachen Ansatz für die Cybersicherheit:

Entwickler sparen rund 100 Stunden pro Jahr ein, da die Einrichtung von Tests und Empfehlungen bei der Fehlerbehebung direkt als Hilfestellung im Scan-Bericht enthalten sind.
Sparen Sie durchschnittlich 40 % Ihres Pentesting-Budgets und ermöglichen Sie eine konstante Transparenz der Sicherheitslage bei gleichzeitiger Verringerung der Anfälligkeit.

Note: Sie müssen die Berechtigung haben, den SQL-Scanner einzurichten. Das SQLi-Tool kann verschiedene HTTP-Anfragen generieren, die als Angriffe betrachtet werden können (auch wenn sie völlig harmlos sind), daher sollten Sie bedenken, dass Sie die Autorisierung benötigen, um diesen Scanner auszuführen.

So funktioniert der SQL Injection Scanner

Der SQL-Injection-Scanner verwendet eine auf SQLMap basierende Engine mit einigen von uns vorgenommenen Anpassungen.

Er prüft auf SQLi-Angriffe gegen SQL-Datenbanken wie MySQL, MsSQL und PostgreSQL. Es ist wichtig, hier zu erwähnen, dass unser Scanner keine schädlichen SQL-Abfragen wie Drop Tables verwendet.

Alle entdeckten Schwachstellen werden dann aufgelistet und im Ergebnisbericht nach Prioritäten geordnet.

Warum sollte ich einen Test auf SQL Injection Schwachstellen durchführen?

SQL Injection gilt als kritische Sicherheitslücke, die schwerwiegende Folgen für Online-Unternehmen haben kann. Die Hacker können eine SQL-Sequenz einschleusen, die es ihnen ermöglicht:

Informationen aus der Datenbank zu extrahieren, ändern und zu entfernen.
Dateien auf der Festplatte (nur in bestimmten Fällen) zu lesen und zu schreiben.
Ihr gesamtes Netzwerk kompromittieren.

Wenn Sie auf SQL-Injektion testen, sind Sie näher dran, diese gefährlichen Angriffe zu verhindern, die es Hackern ermöglichen, an Kundendaten wie Passwörter, Kreditkarten und E-Mail-Informationen zu gelangen. Der Bericht gibt den Schweregrad der Schwachstelle an und enthält Hinweise auf mögliche Abhilfemaßnahmen.

Außerdem können Sie die Scans automatisieren und die Sicherheitsberichte nach Ihrem Zeitplan erhalten, wann und wo immer Sie wollen (E-Mail, Slack, Discord, Microsoft Teams).

Wie teste ich auf eine SQL Injection?

Einrichten und Scannen in weniger als 2 Minuten. Denken Sie daran, dass der SQL-Injection-Scanner ein invasiver Scanner ist – unser automatisiertes Testtool ahmt einen tatsächlichen Hackerangriff nach und prüft Ihre Webanwendung auf SQLi-Exposition. Wir empfehlen, diesen Scanner in einer Staging-Umgebung auszuführen, um Ihr Produktionssystem nicht zu überlasten.

Die Überprüfung auf SQL-Injection-Angriffsvektoren benötigt je nach Größe der Anwendung eine gewisse Zeit, also machen Sie sich keine Sorgen, wenn es etwas länger als ein paar Minuten dauert. Wir werden Sie benachrichtigen, sobald der Scan abgeschlossen ist.

Tipp: Im Abschnitt “Preferences” können Sie festlegen, welche Scanner Sie ausführen möchten. Standardmäßig können Sie alle ausführen; Sie können nur den SQL-Schwachstellen-Scanner auswählen oder ihn mit XSS– und CSRF-Scannern mischen.

Tipps zur Vermeidung von SQLi

Um die Gefährdung durch SQLi-Schwachstellen zu verhindern, sollten Sie alle Benutzereingaben als potenziell bösartig behandeln und einige Programmierrichtlinien befolgen:

Benutzereingaben filtern

Alle Benutzereingaben sollten zunächst validiert und auf die benötigten Zeichen beschränkt werden – z. B. Benutzername, Kennwort und E-Mail-Adresse in einem Registrierungsformular. Beschränken Sie die zulässigen Zeichen in diesen Eingabefeldern auf Zeichen, die die Datenbank nicht beeinträchtigen. Das folgende Beispiel filtert Benutzereingaben für die drei Werte in PHP heraus:

if (preg_match("/[^A-Za-z0-9]/", $username) ||
(preg_match("/[^A-Za-z0-9\!_-]/", $password) ||
(preg_match("/[^A-Za-z0-9_-@]/", $email)) {
echo "Invalid Characters!";
} else {
# Run Database Command}

Datenbankmapper

Erstellte Objekte werden automatisch konvertiert und in der Datenbank gespeichert oder von dort abgerufen. Im Beispiel des Benutzerregistrierungsformulars könnte man das Benutzerobjekt auf folgende Weise erstellen:

$user = new User;
$user->username = $request->username;
$user->password = $request->password;
$user->email = $request->email;
$user->save();

Die resultierende SQL-Anweisung wird automatisch bereinigt und verhindert SQL Injections.

Benutzereingaben / vorbereitete Anweisungen bereinigen

Wenn es nicht möglich ist, einen Datenbank-Mapper zu verwenden, sollten Sie vorbereitete Anweisungen zur Erstellung Ihrer SQL-Abfragen verwenden, um die vom Benutzer bereitgestellten Werte zu validieren und zu bereinigen und somit SQL Injections zu verhindern. In PHP können Sie z. B. eine vorbereitete Anweisung auf folgende Weise erstellen:

$stmt = $mysqli->prepare("INSERT INTO users(username, password, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $username, $password, $email) # "sss" here states, that three strings are expected.
$username = $request->username;
$password = $request->password;
$email = $request->email;
$stmt->execute();

Leitfaden

SQL Injection Präventionsguide

Erfahren Sie, wie Sie SQL Injektionen erkennen und verhindern und so Ihre Web-Assets schützen können.

Leitfaden herunterladen

Andere relevante Schwachstellenscanner

RFI Scanner SSL/TLS Scanner URL Fuzzer Scanner XSS Scanner XXE Scanner

FAQ

SQL Injection Testen

Worum handelt es sich hierbei?

Die SQL Injection ist der riskanteste und am häufigsten vorkommende Angriff im Internet. Dieser Mechanismus beinhaltet das Einfügen von SQL-Abfragen in die Client-Eingabe, um auf die Backend-Datenbanken zuzugreifen (schädliche Payload) und nicht autorisierte SQL-Injection-Befehle auszuführen. SQL-Injection-Angriffe werden vor allem bei Webanwendungen durchgeführt, die sich auf dynamische Datenbanken stützen, aber keine ausreichende Eingabevalidierung aufweisen.

Ist unser SQL-Injection-Scanner gut genug?

Sie können unserem SQL Injection Testtool vertrauen. Wir scannen alle Ihre Webanwendungen, Single-Page-Anwendungen und APIs. Unser Scanner hat eine sehr niedrige Rate der false positives und negatives. Wir können eine Vielzahl von Schwachstellen erkennen, denen Ihre Webanwendung ausgesetzt sein kann, wie z.B. XXE-Angriffe, Sicherheitsfehlkonfiguration, unsichere Deserialisierung und andere.

Welche Best Practices zur Vermeidung von SQLi-Schwachstellen gibt es?

Benutzereingaben
Filtern

Whitelist-basierte Filter verwenden
Aktualisierte Webtechnologien verwenden
Regelmäßige Scanning-Prüfung

Erfahren Sie mehr über SQL Injektionen, ihre Arten, Beispiele und wie man sie vermeidet.

Warum ist Ihr SQLi-Scanner kostenlos?

Wir glauben fest an das Prinzip „Testen, bevor Sie kaufen“. Deshalb bieten wir Ihnen eine 14-tägige kostenlose Testphase an, in der Sie so viel scannen können, wie Sie möchten, ohne Ihre Kreditkarte zücken zu müssen. Cybersecurity sollte für jeden zugänglich sein.