Segurança de Sistemas de Bancos de Dados - U4S1 - Atividade de Aprendizagem

Segurança de Sistemas de Bancos de Dados -   U4S1 - Atividade de Aprendizagem

De maneira geral, os ataques de SQL Injection ocorrem quando um código estranho à sintaxe de um comando SQL é injetado neste comando, gerando um código que não cumpre com um propósito válido e previsto pela aplicação, mas que ainda assim é interpretado e executado pelo sistema a que se destina, produzindo efeitos indesejáveis neste sistema.

A filtragem inadequada (ou ausente) de caracteres de controle ocorre quando:

Escolha uma:

a. Um ou mais caracteres de controle são passados como parâmetros, e por não serem filtrados (descartados como ilegais) terminam por compor uma query SQL, que por sua vez gera resultados não autorizados pelo sistema. 

b. O sistema não apresenta respostas diretas, tais como apresentação de tabelas e registros SQL, e neste caso, as respostas vêm oblíquas, em muitos casos sob forma de mensagens de erro ou de avisos, que por não estarem adequadamente ajustados, dão mais informações ao atacante do que o sistema deveria dar.

c. O interpretador dos comandos não está preparado para identificar e tratar adequadamente os tipos passados nas variáveis, gerando comandos SQL que podem gerar resultados inesperados e indesejáveis.

d. Os comandos SQL mal-intencionados são enviados como parâmetro a um sistema que os reenvia a outro sistema, sendo que este segundo sistema executa os comandos, tendo maiores privilégios para tanto.

e. Os comandos SQL são traduzidos para outra linguagem de programação orientada a objetos e passados como parâmetros por um sistema de autenticação que filtra o código malicioso e o executa diretamente no sistema operacional.

O ataque clássico de SQL Injection (Injeção de código SQL) ocorre por meio da passagem de parâmetros para uma aplicação Web. É neste momento que um parâmetro é adulterado e nele são inseridos códigos que no uso correto da interface jamais seriam inseridos. O atacante insere estes códigos — supostamente sem sentido — porque sabe que vão gerar resultados que lhe interessam, e são diferentes dos resultados previstos pela aplicação.

Observe o comando SQL a seguir:

   “SELECT ∗

   FROM Produtos

   WHERE Preco < ‘300,00’ OR ‘2’ = ‘2’

   ORDER BY Preco;”

Assinale a alternativa que identifica corretamente o resultado da execução deste comando:

Escolha uma:

a. Nada será exibido, uma vez que o comando não respeita a sintaxe do SQL, uma vez que esta linguagem não permite a comparação de um número consigo mesmo

b. Serão exibidos todos os registros da base de dados, ordenados por preço, uma vez que a condição definida sempre será verdadeira, pois 2 sempre é igual a 2

c. Serão exibidos todos os registros cujo preço for menor que trezentos reais, ordenados por preço, uma vez que esta é a condição mais importante

d. Nada será exibido, uma vez que não existem produtos cujo preço seja ao mesmo tempo trezentos reais e dois reais

e. Serão exibidos todos os registros em que o preço for igual a dois reais, ordenados por preço, uma vez que esta é a condição mais importante

--

A incidência de um ataque de SQL Injection pode ser devastadora para uma organização, como os vários casos registrados mostram: prejuízos financeiros, danos à reputação, processos judiciais e mais configuram resultados possíveis para este tipo de ataque. Ainda assim, as prevenções contra o SQL Injection existem e são de fácil implantação.

Analise as asserções a seguir:

I. SQL Injection é um tipo de ataque que incide sobre sistemas que não estão preparados para lidar com requisições mal formatadas.

PORQUE

II. Os fabricantes de sistemas operacionais, servidores Web, servidores de SGBD e de demais softwares que de alguma forma participam do processo de interpretação de comandos já se preocupam ininterruptamente em atualizar os pacotes toda vez que alguma impropriedade é descoberta.

Analisando-se as asserções acima, conclui-se que:

Escolha uma:

a. A primeira afirmação é verdadeira, e a segunda é falsa

b. As duas afirmações são verdadeiras, e a segunda justifica a primeira

c. As duas afirmações são falsas

d. A primeira afirmação é falsa, e a segunda é verdadeira

e. As duas afirmações são verdadeiras, e a segunda não justifica a primeira