Webshops, Wikis, Forensysteme, Groupware- und Content-Management-Systeme setzen Datenbanken ein, um darin ihre Daten und Inhalte abzulegen. Oft trifft der Besucher solcher Seiten dabei auf Kombinationen von Microsoft-Produkten wie Windows-2000-Server, Internet Information Server, MS-SQL-Server, Active Server Pages. Manchmal auch zusammen mit Open-Source-Systemen wie Apache, mySQL und PHP oder Perl.
Die Anzahl von gehackten Websites mit ASP und ASP.NET-Technologie in den dazugehörigen Datenbanken scheint beträchtlich zuzunehmen und mittlerweile sechsstellige Größenordnungen anzunehmen. Das beunruhigt auch Microsoft, so dass sie ein Security Advisory dazu rausgegeben haben.
Demnach beruhen die Probleme nicht auf spezifischen Sicherheitslücken in den Microsoft-Komponenten. Sondern auf allgemeiner Nachlässigkeit im Umgang mit Benutzereingaben.
In der Tat ist es bei schlecht gesicherten Webanwendungen möglich, durch bestimmte Formen von Eingaben die im Hintergrund werkelnden Datenbanken dazu zu bringen, diese als ausführbaren SQL-Befehl zu betrachten und dem Nutzer so direkten Zugriff auf die Datenbank zu geben.
s.a. http://www.heise.de/security/Giftspritze–/artikel/43175 und http://de.wikipedia.org/wiki/SQL-Injection
Geschlossen wird dieses Einfallstor durch eine Filterung von Benutzereingaben, um daraus bestimmte Steuerzeichen und SQL-Ausdrücke als unzulässige Eingabe zu entfernen. Dazu gibt Microsoft in seinem Advisory konkrete Hinweise. Zugleich werden Administratoren einige kostenlose Tools bereitgestellt, mit denen sie die Anfälligkeit ihrer Webanwendungen prüfen und ggf. verringern können.
