SóProvas


ID
1306030
Banca
CESPE / CEBRASPE
Órgão
ANATEL
Ano
2014
Provas
Disciplina
Banco de Dados
Assuntos

Acerca das tecnologias de segurança e dos ataques eletrônicos, julgue os itens a seguir.

Os ataques de SQL Injection do tipo code injection se caracterizam por tentar modificar um comando SQL já existente mediante a adição de elementos à cláusula WHERE ou a extensão do comando SQL com operadores como UNION, INTERSECT ou MINUS.

Alternativas
Comentários
  • Se eu fizesse esta questão novamente , erraria de novo.

    Segue o erro: (...)  code injection (...)          ** Não se trata de injeção de código, mas sim Manipulação de SQL.


    Segundo Navathe(2011,p.576),"Manipulação de SQL. Um ataque de manipulação,que é do tipo mais comum de ataque de injeção,muda um comando SQL na aplicação- por exemplo, ao acrescentar condições a cláusula WHERE de uma consulta, ou ao expandir uma consulta com componentes de consulta adicionais, usando operações de união como UNION,INTERSECT ou MINUS."


    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-NAVATHE-6 EDIÇÃO 2011.

  • Ora, no seu texto tem o seguinte "Um ataque de manipulação,que é do tipo mais comum de ataque de injeção". Então item está correto. Só não está idêntico ao do autor.

  • O erro está no Code Injection. A descrição refere-se ao ataque do tipo SQL Manipulation:

    SQL Manipulation. A manipulation attack, which is the most common type of injection attack, changes an SQL command in the application—for example, by adding conditions to the WHERE-clause of a query, or by expanding a query with additional query components using set operations such as UNION, INTERSECT, or MINUS. 

    Code Injection. This type of attack attempts to add additional SQL statements or commands to the existing SQL statement by exploiting a computer bug, which is caused by processing invalid data. The attacker can inject or introduce code into a computer program to change the course of execution. Code injection is a popular technique for system hacking or cracking to gain information.

    Function Call Injection. In this kind of attack, a database function or operating system function call is inserted into a vulnerable SQL statement to manipulate the data or make a privileged system call. 

    Fonte: Navathe, Cap 24, Database Security


  • Segundo o Navathe [1], na página 576, há 3 tipos de Sql Injection: Manipulação de SQL, Injeção de código, Injeção de chamada de função. A questão trocou os conceitos, foi descrito o tipo Manipulação de SQL e não Injeção de código (code injection). O livro define os tipos da seguinte forma:


    "Manipulação de SQL: Um ataque de manipulação, que é do tipo mais comum de ataque de injeção, muda um comando SQL na aplicação - por exemplo, ao acrescentar condições a cláusula WHERE de uma consulta, ou ao expandir uma consulta com componentes de consulta adicionais, usando operações de união como UNION, INTERSECT ou MINUS.

    Injeção de código: Esse tipo de ataque tenta acrescentar instruções SQL ou comandos adicionais à instrução SQL existente, explorando um bug de computador, que é causado pelo processamento de dados inválidos. O atacante pode injetar ou introduzir código em um programa de computador para alterar o curso da execução. A injeção de código é uma técnica popular para a invasão ou penetração do sistema para obter informações.

    Injeção de chamada de função: Nesse tipo de ataque, uma função do banco de dados ou uma chamada de função do sistema operacional é inserida em uma instrução SQL vulnerável para manipular os dados ou fazer uma chamada privilegiada. Por exemplo, é possível explorar uma função que realiza algum aspecto relacionado à comunicação na rede."

    [1] ELMASRI, Ramez; NAVATHE, Shamkant B., Sistemas de Banco de Dados. 6. ed.



  • O code injection consiste na inserção de novas instruções ou comandos. Incrementar o mesmo comando com adição de cláusulas no WHERE ou a inclusão de UNION, INTERSECT ou MINUS no comando são exemplos de SQL manipulation.

    Gabarito: E

  • Mas a questao fala de code injection, e não de manipulação! Questão errada!!!(não fui atrás de fonte...estou confiando na fonte q o rapazinho ali em cima postou!!!)