SQL Injection

SQL Injection, como o nome já diz, se trata de injeções de comandos ao banco de dados através de parâmetros que podem ser alterados pelos usuários da aplicação, inserindo instruções a mais nas consultas ao banco de dados, devemos cuidar muito bem praticamente todos os campos de parâmetros, tanto parâmetros que utilizam GET ou POST, pois existe a possibilidade de estarmos trabalhando com pessoas capacitadas e que tenham conhecimento técnico, e um POST é fácil de ser interceptado e manipulado assim como o GET pode ser visível na URL no browser do usuário.
Através de um GET, por exemplo, injetando um apóstrofo ( ‘ ) ou aspas simples como preferirem, a aplicação pode retornar erros vindos do Banco de Dados, como exemplo temos a seguir algumas imagens de erros que possibilitam injeções de SQL, erros originados através de testes efetuados por nossa equipe.


Seu Web Site está sob-ataque? Contrate nosso WAF!
Erros em ORACLE

Oracle_Invalid_Number
Figura 1 – invalid number inserindo um apóstrofo

Oracle_String_not_terminated

Figura 2 – quoted string not properly terminated

Nesta aplicação reparem que conforme o erro, o banco de dados retorna o tipo de problema que ele obteve ao fazer a consulta de certificado, Figura 1 ele nos alerta que o número inserido é inválido, na figura 2 o erro já muda, nos mostrando que nossa String de referência não foi devidamente encerrada, neste caso a injeção se deu através de parâmetros GET, ou seja, na própria URL do sistema, onde é possível a inserção de comandos SQL.

Continue lendo este artigo!

Continue lendo este artigo!

Preencha o cadastro e continue a leitura deste artigo! 

Você que gosta de conteúdos de segurança e vê a necessidade de se manter informado e seguro.

Deixe-nos saber quem é você?

Além de você ficar sabendo de nossas notícias em primeira mão, podemos ajudar empresas a ficar cada vez mais seguras na web.

Pronto!

Boa leitura!

Dúvidas? não hesite em entrar em contato conosco!





Facebook