Tcnica de ataque normalmente subestimada

Utiliza comandos SQL sim!les e a"an#ados

$ode ser feita com au%&lio de ferramentas "isuais

$ossui 'rande !otencial de destrui#(o

O que SQL INJECTION)

E%!lora "ulnerabilidades sim!les em um *ebsite

Utiliza formul+rios do !r,!rio site !ara en"iar

c,di'o malicioso ao banco de dados

Utiliza mensa'ens de erro fornecidos !ela !r,!ria

a!lica#(o !ara aumentar o !otencial do ataque
Como funciona
E%em!lo de utiliza#(o
Camada de a!resenta#(o
Camada de l,'ica
Camada de dados
E%em!lo de utiliza#(o
Camada de a!resenta#(o
Camada de l,'ica - Quer- 'erada
Camada de dados

.eterminadas a#/es e%i'em con0ecimento da

estrutura das tabelas

1uitas a!lica#/es n(o tratam corretamente as

mensa'ens de erro e%ibindo informa#/es
desnecess+rias

1ensa'ens detal0adas !odem ser"ir como !orta de

entrada !ara os in"asores

E%em!lo2
[Microsoft][ODBC SQL Server Driver] [SQL Server]
Column 'TBL_USUARIOS.COD_USUARIO' is invalid in the
select list because it is not contained in an
aggregate function and there is no GRO! B" clause#
3!rimorando o ataque

3utentica#/es inde"idas

4oubo de informa#/es

E%clus(o de estruturas inteiras do banco de dados

1ani!ula#(o de cadastros !re#os etc5

3cesso ao sistema o!eracional

E%!osi#(o da em!resa atacada

$otencial de dano

6alida#(o dos dados en"iados no formul+rio

4ecursos das lin'ua'ens !ara acesso aos dados

3tribui#(o de !erfis adequados !ara o usu+rio de

banco de dados utilizado na a!lica#(o

E%ibi#(o de mensa'ens de erro !ertinentes ao

ne',cio
Tcnicas de defesa

3!resentam interface "isual

3u%iliam nos ataques

$ossuem tutoriais em "&deo

736IJ
8erramentas