Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
DA REDE PBLICA
Brigiada Neta1
Edgard Luz de Oliveira
Joo Paulo de Sousa Bueno
Naylson Ferreira Da Silva Andrade
Otvio Costa Lima
Renn Stephany Ferreira Dos Santos2
INTROCUO
A partir dos dados coletados foram encontradas duas falhas de SQL Injection
(apresentado a figura 1.0), uma delas chama-se injeo de SQL cego que um ataque
onde o cracker perguntar ao servidor se algo verdade ou mentira. Se o cracker solicitar
uma pergunta se o usurio x, o sistema dir se isso verdade ou no, carregando o
sistema ou no. Se o sistema carregar verdade caso contrrio mentira.
Figura 1.0.
Figura 2.0
MEDIDAS PREVENTIVAS
Para evitar a utilizao da SQL Injection algumas dos procedimentos sero tomadas no
servidor de banco de dados, outras devem ser garantidas pelo cdigo fonte. Deve-se
tomar cuidado com a configurao do usurio que estabelece a conexo com o banco de
dados. Limitao de privilgios. A conta utilizada para acessar o banco deve ter o menor
nvel de privilgio possvel. O ideal que as permisses de acesso deste usurio estejam
restritamente limitadas s funes que ir realizar, ou seja, para a exibio de um
relatrio, a conexo com o banco de dados deve ser realizada por um usurio com
permisses de leitura e acesso somente s tabelas necessrias para sua operao. Todos
os valores originados da coleta de dados externos, devem ser validadas e tratadas a fim
de impedir a execuo de eventuais instrues destrutivas ou operaes que no sejam
as esperadas. Com a utilizao da funo addslashes() na linguagem de programao
php (Personal Home Page) ser adicionada uma barra invertida antes de cada aspa
simples e aspa dupla encontrada, processo conhecido como escape. Os dados numricos
devem ter tipos compatveis. Jamais coloque senhas ou outras informaes importantes
em arquivos com extenso INC. O contedo pode ser facilmente visualizado e, portanto,
as informaes l contidas ficaro expostas. Na mesma linha, cdigos HTML no
devem conter informaes sobre seus esquemas, nomes de bases, tabelas e colunas. Isso
pode ser confundido com "segurana por obscuridade", mas em segurana da
CONCLUSO
Com base na anlise feita conclui-se que o sistema em foco possui graves falhas de
segurana de SQL Injection na qual deveram ser tomadas as medidas propostas
urgentemente para evitar qualquer tipo de dano as informaes da base de dados logo
que so relacionadas aos alunos da escola podendo gerar incoerncia e baixa
consistncia nos dados cadastrados assim como posse de informaes pessoais dos
funcionrios e tambm da instituio.
Referncias
Duarte, L. O. (2008). DESENVOLVIMENTO DE UM AMBIENTE PARA ANLISE
DE CDIGOS-FONTE COM NFASE EM SEGURANCA. So Jos dos
Campos: Instituto Nacional de Pesquisas Espaciais - INPE.
SILVA, P. T., H. C., & TORRES, C. B. (2003). SEGURANA DOS SISTEMAS DE
INFORMAO. Centro Atlntico.
Souza, S. J. (24 de 04 de 2016). Tcnicas defensivas contra injeo de
comandos. Fonte: htmlstaff: http://www.htmlstaff.org/ver.php?
id=2211