top of page

SQL INJECTION

O SQL injection é uma falha que permite essencialmente fazer qualquer tipo de modificação à base de dados de uma aplicação. Através de queries específicas e adequadas ao tipo de banco de dados ou tecnologia por trás do servidor de base de dados, o atacante é capaz, por exemplo, de alterar uma entrada nesse mesma base ou, em casos extremos, apagar todo esse registo.

A-SQL-injection-attack.png

O impacto é fácil de deduzir. A partir do momento em que o atacante descubra o tipo de tecnologia da base de dados (Microsoft, Oracle, etc) e a versão, pode tentar submeter queries em campos específicos da aplicação e, dependendo da resposta do servidor, construir uma query específica para fazer download de toda a base de dados:

- Obtenção de passwords

- Roubo de cartões de crédito

- Criar um backdoor persistente na organização

bottom of page