INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO MARANHÃO -

IFMA - CAMPUS GRAJAÚ

3° ANO - TÉCNICO EM INFORMÁTICA

LUÍS ESTEVAM ROSA CHAVES

SQL INJECTION

GRAJAÚ-MA
DEZ/2021
LUÍS ESTEVAM ROSA CHAVES

SQL INJECTION

Atividade apresentada à disciplina de

FILOSOFIA 3 do Instituto Federal de
Educação, Ciência e Tecnologia do Maranhão,
como requisito parcial de avaliação para
obtenção de nota.

Orientador (a): Rodrigo Macedo

GRAJAÚ-MA
DEZ/2021
 O SQL Injection é uma técnica de ataque baseada na manipulação do código
SQL, que é a linguagem utilizada para troca de informações entre aplicativos e bancos
de dados relacionais. Como a maioria dos fabricantes de software utiliza o padrão
SQL-92 ANSI, na escrita do código SQL, os problemas e as falhas de segurança aqui
apresentadas se aplicam a todo ambiente que faz uso desse padrão para troca de
informações - o que inclui, por exemplo, servidores Oracle.
O impacto que SQL injection pode ter em uma empresa é de longo alcance.
Um ataque bem-sucedido pode resultar na exibição não autorizada de listas de
usuários, na exclusão de tabelas inteiras e, em certos casos, o invasor ganhando
direitos administrativos sobre um banco de dados, todos os quais são altamente
prejudiciais para os negócios.
As injeções de SQL normalmente se enquadram em três categorias: SQLi
dentro da banda (clássico), SQLi inferencial (cego) e SQLi fora da banda. Você pode
classificar os tipos de injeções de SQL com base nos métodos que eles usam para
acessar os dados de back-end e seu potencial de danos.
SQLI em banda, o atacante usa o mesmo canal de comunicação para lançar
seus ataques e obter seus resultados. A simplicidade e eficiência do SQLi em banda
tornam-no um dos tipos mais comuns de ataque SQLi.
SQLi inferencial (cego), o invasor envia cargas de dados ao servidor e observa
a resposta e o comportamento do servidor para aprender mais sobre sua
estrutura. Esse método é chamado de SQLi cego porque os dados não são
transferidos do banco de dados do site para o invasor, portanto, o invasor não pode
ver as informações sobre o ataque dentro da banda. As injeções cegas de SQL
dependem da resposta e dos padrões de comportamento do servidor, portanto, são
normalmente mais lentas para executar, mas podem ser igualmente prejudiciais.
SQLI fora de banda, o invasor só pode realizar essa forma de ataque quando
determinados recursos estão ativados no servidor de banco de dados usado pelo
aplicativo da web. Essa forma de ataque é usada principalmente como uma alternativa
às técnicas SQLi in-band e inferenciais. É executado quando o invasor não pode usar
o mesmo canal para iniciar o ataque e coletar informações ou quando um servidor é
muito lento ou instável para que essas ações sejam executadas. Essas técnicas
contam com a capacidade do servidor de criar solicitações DNS ou HTTP para
transferir dados a um invasor.
REFERÊNCIAS

IMPERVA. SQL (Structured query language) Injection. Disponível em:

https://www.imperva.com/learn/application-security/sql-injection-
sqli/#:~:text=SQL%20injection%2C%20also%20known%20as,lists%20or%20private
%20customer%20details. Acesso em: 17 dez. 2021.

DEVMIDIA. SQL Injection. Disponível em: https://www.devmedia.com.br/sql-

injection/6102. Acesso em: 17 dez. 2021.