Trabalho

De

Programação

Para Web

Sql injection

Introdução

Neste trabalho irei falar um pouco sobre sql injection e como se prevenir de ataques.

Espero entender um pouco melhor com relação a proteção e a ataques.

Desenvolvimento

A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.

FALHAS DE INJEÇÃO

As falhas de Injeção, particularmente injeção SQL, são comuns em aplicações web. Existem muitos tipos de injeção: SQL, LDAP, XPath, XSLT, HTML, XML, comando de sistema operacional e muitas outras. Falhas de Injeção acontecem quando os dados que o usuário dá de entrada são enviados como parte de um comando ou consulta. Os atacantes confundem o interpretador para o mesmo executar comandos manipulados enviando dados modificados. As falhas de Injeção habilitam o atacante a criar, ler, atualizar ou apagar arbitrariamente qualquer dado disponível para a aplicação. No pior cenário, estes furos permitem ao atacante comprometer completamente a aplicação e os sistemas relacionados, até pelo contorno de ambientes controlados por firewall.

AMBIENTES AFETADOS

Todos os frameworks de aplicação web que usem interpretadores ou invoquem outros processos são vulneráveis a ataques por injeção. Isto inclui quaisquer componentes do framework que possam usar interpretadores como back-end.

PROTEÇÃO

Evite o uso de interpretadores quando possível. Caso invoque um interpretador, o método chave para evitar injeções está no uso de APIs seguras, como por exemplo, queries parametrizadas e bibliotecas de mapeamento objeto relacional (ORM). Estas interfaces manipulam todas as fugas dados, ou aquelas que não demandam fuga. Note que