SQL Injection é uma das técnicas mais
populares utilizadas para a invasão de banco de dados e se vale da
vulnerabilidade de determinadas aplicações, especialmente em sistemas web.
Mas afinal, o que é realmente SQL Injection?
É uma técnica para explorar aplicações que
usem sistemas gerenciadores de banco de dados como seus "back end", usando o fato de que
alguns programas acessam o banco de dados através de instruções SQL compostas
em tempo de execução, seja para extrair dados ou realizar certas funções.
Esta técnica usa o fato que muitas destas
aplicações compõem as declarações SQL através de concatenação de strings, juntamente com dados fornecidos
pelos usuários, para criação das cláusulas where
e eventuais subqueries. Ela é baseada
no envio de dados diferentes do planejado pelo desenvolvedor, onde uma
"inocente" consulta SQL pode se tornar um problema ao banco de dados,
causando, por exemplo, a destruição de dados ou acessos não autorizados a
informações restritas.
Nunca ouviu falar?
Veja os casos abaixo, os quais
relatam ataques, com o SQL Injection (uma das formas), somente no ano de 2013:
01-Janeiro => Ataque ao web site Durar
Shamyia (eldorar.com), site árabe de noticias, e como consequência desse
ataque, 50.000 contas foram hackeadas.
03-Janeiro=> Ataque ao web site da ONG
chinesa WWF, aonde foram coletados dados de 80.000 contas, as quais 54.000
tinha e-mail, usuário e senha.
05-Janeiro=> Ataque ao web site de uma
empresa de serviços online (Cotton Outlook), conseguindo acesso a 1000
registros com todas credencias dos usuários.
07-Janeiro=>Ataque à um sub-dominio da
NASA (larc.nasa.com). O autor teve acesso ao banco de dados com uma planilha de
senhas armazenadas em um arquivo de texto puro (PASMEM!!!!!).
Reparem que nos 4 exemplos acima, existem
empresas de noticias, serviços online e
governo.
Além dessas, existem empresas de serviços
financeiros, jogos on line, bancos, e por ai vai.
Veja que o SQL Injection, foi somente uma das formas
de ataque a essas organizações.
No blog Hackmageddon.com ( http://hackmageddon.com/cyber-attacks-timeline-master-indexes/ ), podemos
acompnhar um time line de ataques ciberneticos desde 01 de janeiro de 2013, com detalhes como: Instituição atacada, quem foi o autor, qual o método usado no atque entre outros.
Quem tiver interesse, também pode dar uma olhada nos ataques feitos em 2011 e 2012.
No período de janeiro de 2013, foram 164
ataques, a maioria ataques bem sucedidos.
A boa noticia é que apesar de alarmante, existem formas de evitar
esses ataques.
Nos próximo post, compartilharei algumas formas
simples de evitar ataques com SQL Injection.
Obrigado e um grande abraço a todos.
Nenhum comentário:
Postar um comentário