Segurança de Sistemas de Bancos de Dados U4S1 - Atividade Diagnóstica

SQL Injection é o ataque que ocorre quando o atacante tem a possibilidade de criar uma query SQL (um comando SQL, em claro e bom português) com elementos inválidos na sintaxe (caracteres de controle, tais como aspas e outros) mal posicionados, com o servidor respondendo a estas queries mal formatadas de maneira inesperada, potencialmente danosa.

Enunciado: No que concerne o ataque conhecido pelo nome de SQL Injection, considere as afirmações a seguir:

I. É um caso especial do ataque genérico de injeção de código

II. Ocorre quando há falta de atualização do antimalware protegendo o sistema

III. É um tipo de ataque conhecido há mais de uma década

IV. Ocorre quando se inserem códigos não previstos pela sintaxe nos comandos SQL

Assinale a alternativa que contém apenas afirmações verdadeiras:

Escolha uma:

a. I, II, III, apenas

b. I, II e IV, apenas

c. I, III e IV, apenas

d. I, II, III e IV

e. II, III e IV, apenas

De maneira geral, os ataques de SQL Injection ocorrem quando um código estranho à sintaxe de um comando SQL é injetado neste comando, gerando um código que não cumpre com um propósito válido e previsto pela aplicação, mas que ainda assim é interpretado e executado pelo sistema a que se destina, produzindo efeitos indesejáveis neste sistema.

Como podemos caracterizar o ataque de SQL Injection chamado de SQL Injection às cegas?

Escolha uma:

a. Um ou mais caracteres de controle são passados como parâmetros, e por não serem filtrados (descartados como ilegais) terminam por compor uma query SQL, que por sua vez gera resultados não autorizados pelo sistema.

b. O sistema não apresenta respostas diretas, tais como apresentação de tabelas e registros SQL, e neste caso, as respostas vêm oblíquas, em muitos casos sob forma de mensagens de erro ou de avisos, que por não estarem adequadamente ajustados, dão mais informações ao atacante do que o sistema deveria dar.

c. O interpretador dos comandos não está preparado para identificar e tratar adequadamente os tipos passados nas variáveis, gerando comandos SQL que podem gerar resultados inesperados e indesejáveis.

d. Os comandos SQL são traduzidos para outra linguagem de programação orientada a objetos e passados como parâmetros por um sistema de autenticação que filtra o código malicioso e o executa diretamente no sistema operacional.

e. Os comandos SQL mal-intencionados são enviados como parâmetro a um sistema que os reenvia a outro sistema, sendo que este segundo sistema executa os comandos, tendo maiores privilégios para tanto.

Em que pese um ataque de SQL Injection, quando realizado, poder ser bastante nocivo ao ambiente, prevenir contra este tipo de problema não é tarefa complicada para o administrador do ambiente. Clarke (2012) recomenda que as técnicas para prevenir o SQL Injection sejam adotadas em conjunto, ao invés de apenas algumas delas.

Observe os seguintes elementos:

I. Linguagem normatizada – termos, requisitos, entidades de processamento) iguais em todos os níveis, entre outros;

II. Elementos técnicos normatizados – tipos de variáveis, tratamento de erros, passagem de parâmetros, restrições quanto aos dados, entre outros;

III. Integração dos módulos regida pelo design de segurança obtido em conjunto;

IV. Testes sistêmicos extensivos dos módulos integrados

Assinale a alternativa que contém apenas elementos pertinentes à técnica de prevenção de SQL chamada “Segurança Dirigida ao/pelo Domínio”:

Escolha uma:

a. I, II, III e IV

b. I, III, IV, apenas

c. I, II, IV, apenas

d. II, III, IV, apenas

e. I, II, III, apenas