Sim, essa informação é assustadora, porém é um momento para reflexão. Estamos realmente nos preocupando com esse assunto?
De acordo com a NTA Monitor, a cada três websites que estão hospedados na internet um apresenta falhas graves de segurança em seu código. Dais quais podem ser exploradas por diversas técnicas de ataques.
Falando em técnicas de ataque, você sabe o que é SQL Injection? Não! Se você é o responsável pela segurança da sua empresa, deveria saber.
SQL Injection é a técnica que consiste em enviar consultas SQL pela interface da aplicação. Como isso é possível?
Veja no exemplo abaixo:
O código da aplicação faz a validação do usuário com a consulta abaixo:
SELECT id, nome, usuario, senha FROM vendedores WHERE usuario = ‘rafael’ and senha = ‘senha’
O nome de usuário e senha serã passado pela aplicação.
Imagine se ao invés de enviar o nome do usuário correto eu fizesse o seguinte:
* Usuário: ra’; DROP TABLE vendedores–
Você deve estar se perguntando, “mas o que é isso?” O sinal de ; simboliza o inicio de outra consulta SQL e a aspas simples informa que o código informado será interpretado normalmente. Então a solicitação ficaria da seguinte maneira:
SELECT id, nome, usuario FROM vendedores WHERE usuario = ‘ra’ ‘; DROP TABLE vendedores–senha = ‘senha’
Ou seja, o usuário ra não seria encontrado, mas a tabela seria deletada e tudo após o — não seria interpretado, pois o SQL encara como comentário.
Uma falha que impactará no quesito disponibilidade, pois sua aplicação não será mais capaz de autenticar um usuário sequer após esse incidente.
Fique ligado, aguardem os próximos artigos
Como já puderam perceber, estou iniciando uma série de posts com o tema segurança. Para mais posts, veja esse link.
[...] http://techfree.com.br/wordpress/2009/09/07/um-em-cada-tres-websites-tem-falha-de-seguranca/ a few seconds ago from IdentiFox [...]