SóProvas

ID
2383168
Banca
IBFC
Órgão
POLÍCIA CIENTÍFICA-PR
Ano
2017
Provas
Disciplina
Banco de Dados
Assuntos

Uma aplicação WEB foi construída de forma que o texto digitado em campos dos formulários é diretamente transferido para as expressões SQL (Structured Query Language). Esta é uma forma insegura de tratamentos das informações, permitindo que comandos SQL sejam passados diretamente ao SGBD (Sistema Gerenciador de Banco de Dados). Assinale a alternativa que indica como esta forma de ataque é mais conhecida em inglês:

Alternativas
Comentários

  • O gabarito é a letra D. 


    SQL Injection: tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.

  • Bom saber também que:

     

    SQL Slammer é um worm de computador que causou um Ataque de negação de serviço em alguns hosts da Internet e dramaticamente abrandou o tráfego geral da Internet, começando às 05:30 UTC em 25 de janeiro de 2003. [...]  Embora intitulado "SQL slammer Worm", o programa não usou a linguagem SQL; que explorou um erro de buffer overflow no Microsoft's flagship do SQL Server e banco de dados Desktop Engine os produtos da Microsoft, [...].

     

    https://pt.wikipedia.org/wiki/SQL_Slammer

     

    https://imasters.com.br/artigo/975/seguranca/o-virus-sql-slammer/?trace=1519021197&source=single

  • Gabarito D

    Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.

    Para exemplificar o funcionamento da injeção de SQL, consideremos uma instrução SQL comum:

    SELECT id, nome, sobrenome FROM autores;

    Essa instrução, que representa uma consulta na base de dados, retorna todos os registros das colunas "id", "nome" e "sobrenome" da tabela "autores". A partir desta mesma instrução, os registros a serem retornados podem ser restritos através da inclusão da cláusula WHERE, como é visto no exemplo abaixo:

    SELECT id, nome, sobrenome FROM autores WHERE nome = 'josé' AND sobrenome = 'silva';

    Com base nesta instrução, é fácil supor que "josé" e "silva" são strings, cujo conteúdo será preenchido pela entrada feita por algum usuário que estiver fazendo uso da aplicação.

    Portanto, supondo que a aplicação não faça o tratamento apropriado do conteúdo inserido pelo usuário, o mesmo pode fazer o uso acidental do caractere apóstrofo. Gerando a entrada:

    nome = jo'sé

    sobrenome = silva

    E fazendo com que a aplicação gere o código:

    SELECT id, nome, sobrenome FROM autores WHERE nome = 'jo'sé' AND sobrenome = 'silva';

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !