Bei einer SQL-Injection handelt es sich um eine Sicherheitslücke, bei der ein Angreifer Structured Query Language (SQL) in Form einer Aktionsanforderung über ein Webformular direkt an eine Webanwendung übergibt, um Zugriff auf Back-End-Datenbank- und/oder Anwendungsdaten zu erhalten. Dies kann zu unbeabsichtigtem und böswilligem Verhalten der Zielanwendung führen. Normalerweise ist diese Art von Angriff erfolgreich, weil eine Web-Anwendung über keine Überprüfung der Benutzereingaben verfügt, was es Benutzern beispielsweise ermöglicht, SQL-Anwendungscode in HTML-Formularen anstelle von normalen Textzeichenfolgen einzugeben.
Die Anwendungsfirewall F5 BIG-IP ® Application Security Manager bereinigt und validiert Benutzereingaben in der Anwendung, sucht nach bekannten Angriffsmustern und lässt nur bekannte Datenzeichenfolgen und -formate zurück zur Anwendung gelangen. Indem ausschließlich gültige und autorisierte Anwendungstransaktionen zugelassen werden, verhindert der BIG-IP Application Security Manager, dass Schadcode auf die Anwendungsserver zugreift, und entlastet so die Geschäftslogik der Anwendung von der Last der Sicherheit und Eingabevalidierung.
F5-Produkte, die vor SQL-Injection schützen: BIG-IP -Anwendungssicherheitsmanager