SóProvas

ID
189550
Banca
CESGRANRIO
Órgão
ELETROBRAS
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Uma aplicação WEB de uma empresa foi invadida e, após análise, descobriram que o ataque utilizou a técnica de SQL Injection. Sobre essa situação, afirma-se que

Alternativas
Comentários
  • A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.
  • Como não adianta brigar com a banca ou o gabarito na prova temos que marcar a letra correta. 

    Na minha opinião a letra B é meio vaga, não está errada mas também acho que não condiz muito com o contexto, comando da questão que fala sobre o SQL Injection. 
    Acredito que a Letra E seria mais correta pois nesse tipo de ataque pode ocorrer um DoS inserindo por exemplo um DROP TABLE. Na verdade quem fica indisponível é a aplicação, e não o banco de dados em si, para o BD ficar indisponível teria que ser um comando de shutdown, algo assim. 

  • LETRA B. Visto que é a aplicação que está recebendo como entrada uma cadeia de caracteres maliciosa.

    Segundo Navathe (2011, p.576)"Em um ataque de Injeção de SQL (SQL injection), o atacante injeta uma entrada de cadeia de caracteres pela aplicação, que muda ou manipula a instrução SQL para o proveito do atacante. Um ataque de injeção de SQL pode prejudicar o banco de dados de várias maneiras, como na manipulação não autorizada do banco de dados, ou recuperação de dados confidenciais. Ele também pode ser usado para executar comandos em nível do sistema que podem fazer o sistema negar serviço à aplicação."


    Bibliografia:

    Sistemas de Banco de dados - 6 edição 2011
    Autor: Elmasri, Navathe