<\/h6>\n
Figura 2 \u2013 quoted string not properly terminated<\/em><\/p>\n Nesta aplica\u00e7\u00e3o reparem que conforme o erro, o banco de dados retorna o tipo de problema que ele obteve ao fazer a consulta de certificado, Figura 1 ele nos alerta que o n\u00famero inserido \u00e9 inv\u00e1lido, na figura 2 o erro j\u00e1 muda, nos mostrando que nossa String de refer\u00eancia n\u00e3o foi devidamente encerrada, neste caso a inje\u00e7\u00e3o se deu atrav\u00e9s de par\u00e2metros GET, ou seja, na pr\u00f3pria URL do sistema, onde \u00e9 poss\u00edvel a inser\u00e7\u00e3o de comandos SQL.<\/p>\n Exemplo de inser\u00e7\u00e3o do ap\u00f3strofo: productos.php?id=5′<\/p>\n Erro retornado:<\/p>\n Figura 3 \u2013 Erro retornado por MySQL<\/em><\/p>\n Como podemos perceber o erro retornado j\u00e1 nos fornece diretamente sem nenhum filtro como o SELECT \u00e9 formado, facilitando ainda mais a inser\u00e7\u00e3o de comandos SQL na URL do sistema Web afetado.<\/p>\n Exemplo de inser\u00e7\u00e3o do ap\u00f3strofo: detalles.php?id=1\u2019<\/p>\n Erro retornado:<\/p>\n Figura 4 \u2013 Erro retornado pelo MSSQL<\/em><\/p>\n Conforme podemos visualizar na imagem, o erro retornado muitas vezes vem com informa\u00e7\u00f5es sens\u00edveis ao sistema web, n\u00e3o s\u00f3 informa\u00e7\u00f5es do banco de dados, facilitando o trabalho de um atacante, como podem perceber, nos foi retornado inclusive o diret\u00f3rio onde a aplica\u00e7\u00e3o e demais aplica\u00e7\u00f5es se encontram no servidor.<\/p>\n Como vimos anteriormente, a simples inser\u00e7\u00e3o de caracteres especiais nos par\u00e2metros de aplica\u00e7\u00f5es web, ocasionam erros retornados muitas vezes pelo pr\u00f3prio Banco de Dados, para evitarmos este tipo de problema, vamos citar exemplos em algumas linguagens.<\/p>\n Ao receber os par\u00e2metros, n\u00e3o importa o jeito que o mesmo foi direcionado para a aplica\u00e7\u00e3o, em muitas linguagens existe a possibilidade de fazer um replace, como exemplo, temos a seguir replaces feitos em asp para a filtragem de poss\u00edveis entradas maliciosas nos par\u00e2metros:<\/p>\n C\u00f3digo 1 \u2013 Exemplo de fun\u00e7\u00e3o em asp para retirada de caracteres especiais<\/em><\/p>\n Existem diversas formas de limpar vari\u00e1veis, outra forma \u00e9 criar um Array com caracteres especiais, e fazer dentro de um la\u00e7o for, verificar se o caractere existe no conte\u00fado da vari\u00e1vel recebida, se existir, limpar usando um replace. Existem diversas linguagens que utilizam o recurso de Replace, exemplo acima, temos a ASP, por\u00e9m existe tamb\u00e9m em linguagens exemplo, Java, PHP, dentre outras linguagens utilizadas em programa\u00e7\u00e3o web.<\/p>\n Atualmente com a vinda de novas linguagens web, temos como evitar a concatena\u00e7\u00e3o de conte\u00fados vindos atrav\u00e9s de par\u00e2metros, dentro de Strings que formariam as Query\u2019s para consultas ao banco de dados, erro bem comum em programa\u00e7\u00e3o web, pois se trata da primeira possibilidade de fazer uma consulta \u201cbem sucedida\u201d ao banco de dados para uma pessoa iniciante em programa\u00e7\u00e3o web, exemplos que n\u00e3o devemos seguir:<\/p>\n C\u00f3digo 2 \u2013 Exemplo ao qual devemos evitar fazer<\/em><\/p>\n Atualmente temos como evitar esse tipo de inser\u00e7\u00e3o ao banco de dados, assim evitando a possibilidade de ocorrer SQL Injection, conforme irei especificar a seguir em .NET utilizando Parameters,<\/p>\n C\u00f3digo 3 \u2013 Exemplo de Parameters em .NET<\/em><\/p>\n Assim como existe essa forma de evitar SQL Injection no framework do .NET existem outras formas de evitar concatena\u00e7\u00f5es em Querys, o Java tamb\u00e9m possui os PreparedStatements, exemplo,<\/p>\n C\u00f3digo 4 \u2013 Exemplo de PreparedStatements em Java<\/em><\/p>\n Para inserirmos Strings em um PreparedStatement utilizamos a seguinte op\u00e7\u00e3o:<\/p>\n C\u00f3digo 5 \u2013 Exemplo de setString em um PreparedStatement<\/p>\n Lembramos que esse exemplo \u00e9 baseado no exemplo do C\u00f3digo 4 por\u00e9m como n\u00e3o existe o 3\u00ba campo a ser preenchido na vari\u00e1vel PreparedStatement, isso foi somente um exemplo, se repararmos os caracteres \u201c?\u201d (Interroga\u00e7\u00e3o) simbolizam a ordem dos Set\u2019s no PreparedStatement, ainda no C\u00f3digo 4 podemos observar por exemplo,<\/p>\n C\u00f3digo 6 \u2013 Demonstra\u00e7\u00e3o setInt<\/em><\/p>\n Ao qual insere o valor 110592 no campo \u201cID = ?\u201d do PreparedStatement , ficando a Query assim ID = 110592. Atualmente, algumas linguagens, exemplo, Java e C#, ou .NET, cont\u00e9m formas de contornar e tratar erros, os famosos \u201ctry catch\u201d , a seguir exemplifico em Java, por\u00e9m em .NET \u00e9 muito similar,<\/p>\n Conforme foi demonstrado no C\u00f3digo 7, no segundo coment\u00e1rio, dentro da instru\u00e7\u00e3o catch, devemos esconder absolutamente todas as vari\u00e1veis que podem mostrar dados, ao qual muitas vezes ajudam um atacante a obter informa\u00e7\u00f5es sobre o sistema, como temos a vari\u00e1vel ex podemos usa-la para selecionar o tipo de tela de erro, cuidando tamb\u00e9m para n\u00e3o facilitarmos que um atacante descubra, por exemplo, a exist\u00eancia de um usu\u00e1rio no sistema, telas de erro em HTML que ajudem a equipe de suporte a diagnosticar o problema, sem impress\u00e3o de vari\u00e1veis, simplesmente pela mensagem, escolhida entre if\u2019s que comparem a vari\u00e1vel \u201cex\u201d com certos tipos de Exceptions esperados, que podem ser retornados pela aplica\u00e7\u00e3o.<\/p>\n Ataques cegos de inje\u00e7\u00e3o SQL, ou Blind SQL Injection, se trata do atacante tentar adivinhar o que existe no banco de dados, por exemplo, com uma senten\u00e7a, a p\u00e1gina pode retornar 1 para true, ou 0 para false, assim o atacante pode obter \u00eaxito na sua explora\u00e7\u00e3o, consultando a exist\u00eancia dos dados, outra forma de evitar esse tipo de ataque \u00e9 atrav\u00e9s do replace na aplica\u00e7\u00e3o web, da fun\u00e7\u00e3o SQL \u201csleep()\u201d que muitos SGBD\u2019s hoje em dia carregam, ao qual faz o Banco de Dados ter um delay ao responder para a aplica\u00e7\u00e3o web, quando o valor consultado existir no banco de dados.<\/p>\n Existe sim outras formas de evitar este e outros tipos de ataques em aplica\u00e7\u00f5es web, nossa empresa desenvolveu o XLabs Web Application Firewall<\/a>, trata-se de um sistema que defende qualquer plataforma web de ataques direcionados a tais aplica\u00e7\u00f5es. Quer saber mais? Fale agora mesmo com um de nossos especialistas<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" SQL Injection, como o nome j\u00e1 diz, se trata de inje\u00e7\u00f5es de comandos ao banco de dados atrav\u00e9s de par\u00e2metros que podem ser alterados pelos usu\u00e1rios da aplica\u00e7\u00e3o, inserindo instru\u00e7\u00f5es a mais nas consultas ao banco de dados, devemos cuidar muito bem praticamente todos os campos de par\u00e2metros, tanto par\u00e2metros que utilizam GET ou POST, […]<\/p>\n","protected":false},"author":1,"featured_media":1555,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[4],"tags":[79,80,76,81,98,97],"yoast_head":"\n![\"Oracle_Invalid_Number\"](\"\/blog\/wp-content\/uploads\/2014\/05\/Oracle_Invalid_Number.jpg\")
<\/a>
\nFigura 1 \u2013 invalid number\u00a0inserindo um ap\u00f3strofo<\/em><\/p>\n<\/a><\/p>\n<\/h6>\n
Erros em MySQL<\/strong><\/h4>\n
<\/h6>\n
<\/a><\/p>\n<\/h6>\n
<\/h6>\n
Erros em MSSQL<\/strong><\/h4>\n
<\/h6>\n
<\/a><\/p>\n<\/h6>\n
<\/h6>\n
Evitando SQL Injection<\/strong><\/h4>\n
<\/h6>\n
Limpeza de vari\u00e1veis<\/strong><\/h4>\n
<\/h6>\n
<\/a><\/p>\n<\/h6>\n
<\/h6>\n
Evitar concatena\u00e7\u00e3o de vari\u00e1veis em Querys<\/strong><\/h4>\n
<\/h6>\n
<\/a><\/p>\n<\/h6>\n
<\/h6>\n
<\/a><\/p>\n<\/h6>\n
<\/h6>\n
\n<\/code><\/a><\/p>\n<\/h6>\n
<\/h6>\n
<\/a><\/p>\n<\/h6>\n
<\/h6>\n
<\/a><\/p>\n<\/h6>\n
\nSe por um acaso, a vari\u00e1vel SALARY for manipulada, por exemplo, inserir o valor 153833.00\u2019, no banco de dados ir\u00e1 ser atualizado a c\u00e9lula de sal\u00e1rio para 153833.00\u2019 n\u00e3o afetando em inje\u00e7\u00f5es de comandos SQL. Mas sim somente causando uma \u201cpolui\u00e7\u00e3o\u201d do banco de dados com caracteres especiais desnecess\u00e1rios.<\/p>\n<\/h6>\n
Tratamento em telas de erro<\/strong><\/h4>\n
<\/h6>\n
<\/a>
\nC\u00f3digo 7 \u2013 Exemplo de tratamento seguro em erros<\/em><\/p>\n<\/h6>\n
<\/h6>\n
Evitando ataques \u201ccegos\u201d<\/strong><\/h4>\n
<\/h6>\n
Outras formas eficientes de evitar este e outros ataques \u00e0 aplica\u00e7\u00f5es web?<\/strong><\/h4>\n