SQL Injections

Existentes a mais de uma década, os ataques de SQL Injection vem crescendo drasticamente nos últimos anos, como exemplo, no segundo trimestre de 2008 tivemos aproximadamente 500.000 websites explorados com essa técnica.

Ataques de SQL Injection consistem na exploração de vulnerabilidades de segurança em um website inserindo e executando códigos maliciosos em uma base de dados. Podem ser utilizados para desfigurar um site modificando seus arquivos ou entradas no banco de dados (defacing) e desabilitá-los apagando seu conteúdo, ou ainda hospedar e espalhar vírus, malwares e spywares alterando conteúdos legítimos e fazendo com que usuários acessem material malicioso sem que saibam disso, em hipóteses mais sérias pode ocorrer o roubo de informações de cartões de crédito, senhas e outros.

No início de 2009 um hacker romeno utilizou vulnerabilidades de SQL Injections para hackear e ganhar acesso a diversos dados em grandes empresas de Antivirus, por exemplo, o caso da Kaspersky, Bit Defender e F-Secure.

Basicamente a falha de SQL Injection acontece quando uma determinada variável tratada dentro da aplicação não manipula de forma correta os valores que são inseridos dentro dela, passando estes dados diretamente para uma Query SQL e executando logo em seguida.

Os tipos mais conhecidos de ataques em SQL Injections são:

- Filtragem incorreta em caracteres de escape
- Gerenciamento de Tipos de dados incorretos