Lição 5

Início

Contexto:

Fragilidade:

Ataques:

Observações:

Qualquer aplicação que receba input do utilizador e o utilize para aceder a uma base de dados é uma aplicação plausível de ser vulnerada.
No exemplo acima demonstrou-se o como é fácil realizar este tipo de ataques para ultrapassar mecanismos de autenticação, no entanto, a utilização do SQL Injection é muito variada. Sendo utilizada pelos atacantes para apagar tabelas inteiras da base de dados, inserir privilégios a determinado utilizador, roubar informação privilegiada, entre outros possíveis ataques.
No entanto, a boa noticia é que o SQL Injection é uma vulnerabilidade facilmente contornável com a simples escrita de código seguro.
Algumas das boas práticas de programação que deveriam estar inerentes a qualquer profissional são o fazer tratamento de erros, não deixando que a aplicação mostre os seus erros internos, validar os dados que a aplicação recebe e, para finalizar, a velha máxima "Quando tudo mais falhar, tenha sempre um backup em mãos..."

Início
"Vulnerabilidades na WWW"
Projecto de Algoritmos e Aplicações de Segurança, LEIC - 4º ano, 2004-2005
Luis Miguel Silva Costa, Mail, Homepage
Nuno Alexandre Costa Fresta dos Santos, Mail, Homepage