O documento discute injeção de SQL, uma das vulnerabilidades mais comuns. Ele descreve suas características, como estar no topo da lista OWASP de 2013, e como ocorre um ataque, incluindo levantamento de dados e execução de código injetado. Também fornece exemplos de sistemas vulneráveis e mitigações como validação de entrada e uso de frameworks seguros.
2. Características
➔ Nº 1 - OWASP Top Ten (2013)
➔ Fácil aprendizado
➔ Exploração simples
➔ Comumente encontrada
➔ Nível de detecção médio
➔ Impacto tecnológico severo
➔ Alto impacto nos negócios
3. OWASP
➔ Comunidade livre e aberta
➔ Não possui fins comerciais
➔ Extensa comunidade
➔ Grande quantidade de conteúdo
➔ Fontes de informação confiáveis
4. OWASP - Top 10
➔ Relatório atualizado
➔ Dados detalhados
➔ Detalhes das mudanças de cenário
➔ Altamente explicativo
➔ Propõe soluções
https://www.owasp.org/
5. Cenário
➔ Não validação de inputs
➔ Estrutura simples de banco
➔ Não utilização de frameworks
➔ Acesso direto ao banco de dados
6. Como acontece?
➔ Levantamento de dados
➔ Inferência sobre modelo
➔ Testes de inputs
➔ Execução de código injetado
➔ Colheita de resultados
12. Exemplo
➔ Sistema com vunerabilidades
mitigadas:
◆ scruuum.herokuapp.com
➔ Código do sistema:
◆ https://github.
com/bsampaio/CakePHP-
PSScrum
13. Lição
➔ Não seja ingênuo
➔ SEMPRE busque informação
➔ Pense fora da caixa
➔ Tente estar um passo à frente
➔ Teste seu software
14. Derrota…?
Eu acho que o lado negro da força não
ficou feliz com o seu conhecimento…
Mas saiba que essa foi só uma de
muitas batalhas.
O OWASP ainda tem mais 9 ameaças
classificadas como mais comuns.
Se informe: www.owasp.org