Hallo,
Zitat:
|
Ist es denn möglich nach der Anmeldung des Clients beim Server dem Server SQL Abfragen von externen Quellen (also nicht vom Client) zu schicken???
|
Möglich wären 'Man in the Middle' oder IP-Spoofing.
Stellt sich die Frage, wie der Client auf den Server zugreift. Geschieht dies über einen lokalen Sockel, so wie es bei MySQL fast immer ist, wird es bestimmt recht schwer.
Geschieht der Datenaustausch per Netzwerk, könnte ein Angreifer z.B. ein Packet mit der SQL Anweisung an den Server senden.
Bei diesem Packet müsste er die Absender-IP so fälschen, das es die von dem eingewählten Client ist.
Da aber der Datenaustausch über TCP läuft, müsste er noch die Sequenz-Nummer erraten, was zwischen relativ einfach (Netzwerk mit Hub) bis relativ schwer (Router) ist.
Des Weiteren würde der Angreifer keine Antwort auf seine Anfrage bekommen, denn die sendet der Server zu dem eingelogten Client.
Man kann also nicht sagen, ob solch eine Attacke schwer oder leicht zu realisieren ist. In einem Netzwerk mit einem Hub könnte man relativ leicht manipulierte Packete sende, oder sich gar in die Mitte von Server & Client stellen.
Ist aber zwischen dem Angreifer und dem Client z.B. ein Router (z.B. Internet), dann wird der Angriff schon deutlich schwerer.
Des Weiteren bieten die meisten SQL Server noch eine Verbindung per SSL, dort wären solche Angriffe nicht möglich.