O que é o Alert “Path Traversal”?

O alerta "Path Traversal" refere-se a uma vulnerabilidade de segurança em que um invasor pode acessar
arquivos ou diretórios fora do diretório raiz permitido em um aplicativo web. Essa vulnerabilidade ocorre
quando a aplicação não valida corretamente as entradas do usuário que especificam caminhos de
arquivos ou diretórios.

Um ataque de "Path Traversal" ocorre quando um invasor manipula as entradas do aplicativo para
acessar arquivos ou diretórios confidenciais, como arquivos de configuração, arquivos de senha ou
outros dados sensíveis. Isso pode levar à divulgação não autorizada de informações ou até mesmo à
execução de código malicioso.

Para corrigir essa vulnerabilidade, é importante implementar práticas de programação seguras, como a
validação adequada das entradas do usuário que especificam caminhos de arquivos ou diretórios. É
necessário garantir que apenas os caminhos permitidos sejam acessíveis e que qualquer entrada do
usuário seja sanitizada para remover caracteres especiais ou sequências que possam permitir a
navegação fora do diretório raiz.

O que é o Alert “SQL Injection – SQLite”?

O alerta "SQL Injection - SQLite" é acionado quando há uma vulnerabilidade de segurança conhecida
como injeção de SQL em bancos de dados SQLite. A injeção de SQL é uma técnica de ataque em que um
invasor insere comandos SQL maliciosos em uma aplicação para manipular o banco de dados subjacente.

Essa vulnerabilidade ocorre quando a aplicação não valida ou sanitiza corretamente as entradas do
usuário antes de executar consultas SQL. Isso permite que um invasor insira comandos SQL adicionais ou
manipule as consultas existentes, comprometendo a integridade e a segurança dos dados armazenados
no banco de dados SQLite.

- Como corrigir o problema do Alert "SQL Injection – SQLite"?

Para corrigir o problema do alerta "SQL Injection - SQLite", é importante implementar práticas de
programação seguras e seguir as diretrizes recomendadas.

1. Use consultas parametrizadas ou prepared statements para evitar a concatenação direta dos
valores das entradas do usuário em consultas SQL. Isso permite que o banco de dados trate os
valores como dados, evitando a interpretação maliciosa de comandos SQL.
2. Valide e sanitize as entradas do usuário, garantindo que estejam no formato esperado e
removendo caracteres especiais ou realizando a devida codificação.
3. Restrinja as permissões do banco de dados, garantindo que o usuário tenha apenas as
permissões necessárias para executar as operações desejadas. Evite conceder permissões
excessivas que possam ser exploradas em um ataque de injeção de SQL.
4. Mantenha o banco de dados atualizado, utilizando a versão mais recente do SQLite e aplicando
as atualizações de segurança fornecidas pelos desenvolvedores. Isso ajuda a corrigir quaisquer
vulnerabilidades conhecidas relacionadas à injeção de SQL.
5. Implemente um firewall de aplicação web (WAF) para ajudar a detectar e bloquear tentativas de
injeção de SQL, fornecendo uma camada adicional de proteção para o aplicativo.