SóProvas

ID
3379666
Banca
INSTITUTO AOCP
Órgão
UFOB
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Ataques costumam ocorrer na internet com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede que seja acessível via internet pode ser alvo de um ataque, assim como qualquer computador com acesso à internet pode participar de um ataque. Com referência aos DDoS, DoS, IP spoofing, port scan, session hijacking, buffer overflow, SQL Injection, cross-site scripting, spear phishing e APT (advanced persistent threat), julgue o item a seguir.


Um lote de instruções SQL é um grupo de duas ou mais instruções SQL separadas por ponto e vírgula. Um ataque SQL Injection pode ser realizado nesse caso colocando um comando malicioso após uma entrada esperada. Exemplo: “SELECT * FROM usuario where id =” concatenado à entrada “5; DROP TABLE usuario;”

Alternativas
Comentários

  •  SQL Injection - - manipulação de dados em bancos de dados relacionais através dos SGBDs (Sistema de Gerenciamento de Banco de Dados Relacionais).

    É um tipo de ataque onde o "Hacker" consegue inserir comandos maliciosos (sql querys) no banco de dados através dos campos de formulários ou de URLs de uma aplicação vulnerável, ambicionando extrair informações guardadas no banco de dados"

  • Exemplo: “SELECT * FROM usuario where id =” concatenado à entrada “5; DROP TABLE usuario;”

    Isso é um exemplo de SQL Injection? o que o atacante ganharia com esse comando?

  • GABARITO: CERTO.

  • Gabarito: Correto.

    Respondendo a perguntado colega, que ficou com dúvida quanto ao SQL injection.

    Para explicar o SQL Injection vou dar um exemplo:

    Digamos que vc está no site da Amazon, vendo coisas à venda, no campo de pesquisar do site, ao invés de vc pesquisar, por exemplo, meias, livros, vc coloca um código de banco de dados, vc escreve um código de banco de dados (como o SQL) no campo de busca do site, tentando danificar/modificar as configurações do banco de dados do site entende? Vc tenta inserir confiração/comando no banco de dados do site, pela janelinha de busca. De forma bem simples, funciona assim um ataque de injeção de SQL, existem varias variantes, algumas injeçoes de SQL buscam atingir outras pessoas que estão também no site, ai é outro tipo de ataque SQL, do tipo XSS. Sacou?

    Legal né, mas nao recomendo vc testar isso nos sites por ai, porque, se vc tentar fazer uma injeção de SQL na Amazon, Americanas etc, eles pelos mecanismos de segurança, te adicionam em uma "lista negra" muitas vezes impedindo vc de acessar o site deles, ou pode chegar uma notificação da justiça na sua casa rsrs. A explicação ficou grande, mas espero ter ajudado. Bons estudos