sexta-feira, 15 de fevereiro de 2013

SQL Injection. Você já ouviu falar?



SQL Injection é uma das técnicas mais populares utilizadas para a invasão de banco de dados e se vale da vulnerabilidade de determinadas aplicações, especialmente em sistemas web.

Mas afinal, o que é realmente SQL Injection?

É uma técnica para explorar aplicações que usem sistemas gerenciadores de banco de dados como seus "back end", usando o fato de que alguns programas acessam o banco de dados através de instruções SQL compostas em tempo de execução, seja para extrair dados ou realizar certas funções.  

Esta técnica usa o fato que muitas destas aplicações compõem as declarações SQL através de concatenação de strings, juntamente com dados fornecidos pelos usuários, para criação das cláusulas where e eventuais subqueries. Ela é baseada no envio de dados diferentes do planejado pelo desenvolvedor, onde uma "inocente" consulta SQL pode se tornar um problema ao banco de dados, causando, por exemplo, a destruição de dados ou acessos não autorizados a informações restritas.

Nunca ouviu falar? 

Veja os casos abaixo, os quais relatam ataques, com o SQL Injection (uma das formas), somente no ano de 2013:
01-Janeiro => Ataque ao web site Durar Shamyia (eldorar.com), site árabe de noticias, e como consequência desse ataque, 50.000 contas foram hackeadas.
03-Janeiro=> Ataque ao web site da ONG chinesa WWF, aonde foram coletados dados de 80.000 contas, as quais 54.000 tinha e-mail, usuário e senha.
05-Janeiro=> Ataque ao web site de uma empresa de serviços online (Cotton Outlook), conseguindo acesso a 1000 registros com todas credencias dos usuários.
07-Janeiro=>Ataque à um sub-dominio da NASA (larc.nasa.com). O autor teve acesso ao banco de dados com uma planilha de senhas armazenadas em um arquivo de texto puro (PASMEM!!!!!).

Reparem que nos 4 exemplos acima, existem empresas de noticias, serviços online e  governo.

Além dessas, existem empresas de serviços financeiros, jogos on line, bancos, e por ai vai.
Veja que o SQL Injection, foi somente uma das formas de ataque a essas organizações.
No blog Hackmageddon.com ( http://hackmageddon.com/cyber-attacks-timeline-master-indexes/ ), podemos acompnhar um time line de ataques ciberneticos desde 01 de janeiro de 2013, com detalhes como: Instituição atacada, quem foi o autor, qual o método usado no atque entre outros.

Quem tiver interesse, também pode dar uma olhada nos ataques feitos em 2011 e 2012.
No período de janeiro de 2013, foram 164 ataques, a maioria ataques bem sucedidos.

A boa noticia é que apesar de alarmante, existem formas de evitar esses ataques.

Nos próximo post, compartilharei algumas formas simples de evitar ataques com SQL Injection.

Obrigado e um grande abraço a todos.

Nenhum comentário:

Postar um comentário