TDC 2011 - Arquitetura de desfesa contra injeção de SQL

1.466 visualizações

Publicada em

Palestra de 40 min. sobre o risco da principal vulnerabilidade encontrada em aplicações. SQL Injection.
De maneira simples como construir uma arquitetura de infraestrutura para melhor proteção do banco de dados e regras a serem seguidas nas aplicações.

Publicada em: Educação, Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.466
No SlideShare
0
A partir de incorporações
0
Número de incorporações
648
Ações
Compartilhamentos
0
Downloads
22
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

TDC 2011 - Arquitetura de desfesa contra injeção de SQL

  1. 1. Arquitetura de defesa e exposição de dados por injeção Luis Asensio
  2. 2. Mini CurriculoLuis Asensio:Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a maisde 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) eJava. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5(Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro,onde atua como analista de processos na Editora Abril na área da Segurança daInformação.
  3. 3. A migração dos ataques
  4. 4. A realidade está próxima de nós.
  5. 5. Exposição de dados por injeção.
  6. 6. Tipos de injeção de código: ● Injeção de HTML e JavaScript ● Injeção de SQL ● Injeção de PHP ● Injeção de HTTP ● Injeção de e-mail(SMTP) ● Injeção de inclusão de arquivos ● Injeção de Shell
  7. 7. Arquitetura de defesa
  8. 8. Como evitar esse ataque? ● Utilizar sempre queries parametrizadas; ● Conceder privilegio a objetos de banco necessários para a aplicação; ● Evitar expor mensagens de erros com muito detalhes; ● Utilizar stored procedure quando possível; ● Tratar envio de código de "escape" (encoding); ● Desativar contas padrões (Ex.: SYSDBA, SDB,Sccot, etc).
  9. 9. Conclusão Não existe a bala de prata para resolver todas as vulnerabilidades.O desenvolvedor tem queatualizar-se sobrevulnerabilidades que podemexpor o seu sistema. https://www.owasp.org
  10. 10. Obrigado! Contatos: Twitter: LuisAsensio Blog: http://lasensio.blogspot. com E-mail: asensio@ig.com.br

×