SQL Injection

Trabalho Escolar: SQL Injection. Pesquise 860.000+ trabalhos acadêmicos

Por: Ederbalbino • 24/9/2013 • 406 Palavras (2 Páginas) • 407 Visualizações

Página 1 de 2

Passo 2

Exemplo 1

Injecção de comandos SQL

Os ataques por injecção de comandos SQL são ataques que visam os sites web apoiando-se em bases de dados relacionais.

Neste tipo de site, os parâmetros são passados à base de dados sob a forma de um pedido SQL.Assim, se o projectista não efectuar nenhum controlo sobre os parâmetros passados no pedido SQL, é possível que um pirata altere o pedido a fim de aceder ao conjunto da base de dados, ou mesmo alterar o conteúdo.

Com efeito, certos caracteres permitem conectar vários pedidos SQL ou ignorar a sequência do pedido. Assim, inserindo este tipo de carácter no pedido, um pirata pode potencialmente executar o pedido à sua escolha.

Vejamos o seguinte pedido, esperando como parâmetro um nome de utilizador:

SELECT * FROM utilisateurs WHERE nom="$nom";

Basta que um pirata introduza um nome como “toto” OR 1=1 OR nome = " titi” para que o pedido se torne no seguinte:

SELECT * FROM utilisateurs WHERE nom="toto" OR 1=1 OR nom ="titi";

Assim, com o pedido acima, a cláusula WHERE sempre é realizada, que significa que devolverá os registos que correspondem a todos os utilizadores.

Exemplo 2

O ataque SQL Injection

Para ilustrar o conceito de SQL Injection, vamos considerar o mesmo exemplo

anterior, mas dessa vez um atacante tentará acessar o sistema como usuário jose e

sem saber a verdadeira senha deste usuário.

Conforme fizemos no exemplo anterior, substituindo os valores de "login" por jose e

"senha" pela string xxxx' OR TRUE -- , desta forma, temos o seguinte comando SQL:

O servidor vai avaliar o comando SQL da seguinte forma:

Essa consulta vai retornar todas as linhas da tabela usuarios. Assim, como o número

de resultados da consulta é maior que zero (ver "LINHA IMPORTANTE"),

o atacante conseguirá efetuar o login como jose.

Isto foi possível pois o valor de entrada informado nos campos "login" e "senha" não

receberam o tratamento devido. Diversos outros tipos de ataque via SQL Injection são

possíveis, como retornar dados de outros usuários, listar tabelas que um usuário não

tem acesso, apagar informações de uma tabela, inserir informações em uma tabela,

dentre vários outros.

SELECT * FROM usuarios WHERE login = 'jose' AND senha = 'xxxx' OR

TRUE

...

Baixar como (para membros premium) txt (2.6 Kb)

Continuar por mais 1 página »

Disponível apenas no TrabalhosGratuitos.com

Ler documento completo Salvar

Informação

Denunciar este trabalho

Trabalhos relacionados

Tabela De Linguagem Sql
Table of Contents ABORT -- aborta a transação corrente ALTER GROUP -- inclui ou exclui usuários em um grupo ALTER TABLE -- altera a definição

3 Páginas • 1172 Visualizações
Exercícios Sobre Agregações Utilizando SQL
Exercícios sobre agregações utilizando SQL Explicações Gerais A Agregação permite realizar por funções cálculos que envolvem um ou mais registros = tuplas, esses cálculos podem

2 Páginas • 1003 Visualizações
SQL
-- INSERINDO 15 REGISTROS NA TABELA PRODUTO, SENDO 5 DA CATEGORIA LATICÍNIOS INSERT INTO Produto VALUES (12345,'Leite Condensado',350,123, 1.99); INSERT INTO Produto VALUES (123456,'Requeijão',400,123, 1.80);

2 Páginas • 384 Visualizações
SQL- Funções De Agregação
1 Dadas as seguintes tabelas: Funcionario(Código, Nome, Sobrenome, Data_Nascimento, Cidade, Telefone, Cod_Departamento, Função, Salario) Departamento(Código, Nome, Localização, Cod_Func_Gerente) 1.1 Liste o total da folha de

2 Páginas • 569 Visualizações
Procedimento De Implementação Do SQL
PROCEDIMENTO Implementação do System Center Configuration Manager 2012 Preparado por: Diego Guimarães Especialista Microsoft System Center Este documento contém a documentação técnica do Projeto de

15 Páginas • 535 Visualizações
Informatica SQL Server
1co I / O. Etapa O número de páginas que serão armazenados na memória vai depender da memória do servidor SQL. Com a ajuda de

2 Páginas • 342 Visualizações
SQL*LOADER
SQL*LOADER Com o crescente armazenamento de informações, os bancos de dados tem crescido de maneira considerável inclusive chegando facilmente à casa dos Terabytes. E em

2 Páginas • 367 Visualizações
Introdução Ao SQL
1 - Introdução Visão geral do SQL Server Sistemas Gerenciadores de Bancos de Dados Objetivos: - Obter uma visão geral do SQL Server e do

3 Páginas • 385 Visualizações
Comandos SQL
ATPS Passo 1 O papel dos sistemas de informação no ambiente de negócios contemporâneo. Em todo o mundo o acesso a internet seja por meio

2 Páginas • 434 Visualizações
Fundamentos De Consultas SQL
Fundamentos de consultas SQL Segundo Date, C.J, um sistema de Banco de Dados é basicamente um sistema computadorizado de manutenção de registros. A linguagem estruturada

4 Páginas • 776 Visualizações

Tópicos similares

Exercicios Sql

Tenha acesso a mais de 860.000 trabalhos e monografias
Junte-se a mais de 3.908.000 outros alunos
Trabalhos e monografias de alta qualidade

Registrar