SQL Injection

sql_injection_prevent

SQL Injection, como o nome já diz, se trata de injeções de comandos ao banco de dados através de parâmetros que podem ser alterados pelos usuários da aplicação, inserindo instruções a mais nas consultas ao banco de dados, devemos cuidar muito bem praticamente todos os campos de parâmetros, tanto parâmetros que utilizam GET ou POST, pois existe a possibilidade de estarmos trabalhando com pessoas capacitadas e que tenham conhecimento técnico, e um POST é fácil de ser interceptado e manipulado assim como o GET pode ser visível na URL no browser do usuário.
Através de um GET, por exemplo, injetando um apóstrofo ( ‘ ) ou aspas simples como preferirem, a aplicação pode retornar erros vindos do Banco de Dados, como exemplo temos a seguir algumas imagens de erros que possibilitam injeções de SQL, erros originados através de testes efetuados por nossa equipe.


Seu Web Site está sob-ataque? Contrate nosso WAF!
Erros em ORACLE

Oracle_Invalid_Number
Figura 1 – invalid number inserindo um apóstrofo

Oracle_String_not_terminated

Figura 2 – quoted string not properly terminated

Nesta aplicação reparem que conforme o erro, o banco de dados retorna o tipo de problema que ele obteve ao fazer a consulta de certificado, Figura 1 ele nos alerta que o número inserido é inválido, na figura 2 o erro já muda, nos mostrando que nossa String de referência não foi devidamente encerrada, neste caso a injeção se deu através de parâmetros GET, ou seja, na própria URL do sistema, onde é possível a inserção de comandos SQL.

Continue lendo este artigo!

Continue lendo este artigo!

Preencha o cadastro e continue a leitura deste artigo! 

Você que gosta de conteúdos de segurança e vê a necessidade de se manter informado e seguro.

Deixe-nos saber quem é você?

Além de você ficar sabendo de nossas notícias em primeira mão, podemos ajudar empresas a ficar cada vez mais seguras na web.

Pronto!

Boa leitura!

Dúvidas? não hesite em entrar em contato conosco!



Gostou do artigo? Compartilhe.

Share on linkedin
LinkedIn
Share on facebook
Facebook
Share on whatsapp
WhatsApp
Quer proteger seu website e seus dados na web?
Clique e saiba mais
Economize até 25% em TI
Diminua seus custos com infraestrutura em TI, e garanta buscas de falhas de segurança.
Clique e saiba mais
Antecipe falhas de segurança
Teste seus ativos com uma solução altamente confiável.
Clique e saiba mais
Previous
Next

Pesquisar no Blog

Faça parte da nossa lista de emails