Alex Camargo, profile picture
Carregado porAlex Camargo
PDF, PPTX157 visualizações

Aula 02 - Injeção de dados (SQL injection)

Este documento apresenta o tópico de injeção de SQL (SQL Injection) em um sistema acadêmico. Apresenta conceitos básicos de injeção de dados, um exemplo prático usando PHP e MySQL e figuras ilustrando um banco de dados, consultas padrão e maliciosas, e código-fonte vulnerável e filtrado. Finaliza com exercícios sobre SQL Injection.

Incorporar apresentação

Transferir como PDF, PPTX
SQLSQL InjectionInjection Prof. Alex Dias Camargo alexcamargoweb@gmail.com REPÚBLICA FEDERATIVA DO BRASIL UNIVERSIDADE HACKER INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS MÓDULO VII – DESENVOLVIMENTO WEB
2 I. Plano de aula Na aula anterior foi visto:  Arquitetura Web  Riscos de uma aplicação Módulo VII – Desenvolvimento Web
3 I. Plano de aula Nesta aula será apresentado:  Conceitos de injeção de dados  Exemplo prático: PHP e MySQL Módulo VII – Desenvolvimento Web
4 1. Introdução Os ataques de injeção acontecem quando dados não confiáveis são enviados para um interpretador por meio de uma entrada de formulário ou algum outro envio de dados.  Cenário: um sistema acadêmico utiliza dados não validados na construção de uma chamada SQL para exibir o histórico de um aluno.  Ataque: Injeção de SQL via GET na URL.  Ambiente: Apache 2.4, PHP 5.6, MySQL 5.7.  Repositório: https://github.com/alexcamargoweb/unihacker Módulo VII – Desenvolvimento Web
5 1. Introdução Módulo VII – Desenvolvimento Web Figura. Banco de dados: visão geral.
6 1. Introdução Módulo VII – Desenvolvimento Web Figura. Consulta ao banco de dados: acesso padrão. Parâmetro via GET
7 1. Introdução Módulo VII – Desenvolvimento Web Figura. Consulta ao banco de dados: acesso malicioso. Parâmetro via GET + ‘ OR 1=1 – ‘
8 1. Introdução Módulo VII – Desenvolvimento Web Figura. Consulta ao banco de dados: código com vulnerabilidade. Parâmetro via GET sem filtro!
9 1. Introdução Módulo VII – Desenvolvimento Web Figura. Consulta ao banco de dados: código com vulnerabilidade filtrada. Parâmetro via GET com filtro!
10 1. Introdução Módulo VII – Desenvolvimento Web Figura. Consulta ao banco de dados: restante do código-fonte.
11 2. Exercícios 1. Responda o quiz sobre SQL Injection: SQL Server Questions and Answers – SQL Injection https://moodle.unihacker.club/mod/url/view.php?id=173 Módulo VII – Desenvolvimento Web
12 Referências básicas OWASP, Top. Top 10-2017. The Ten Most Critical Web Application Security Risks. OWASP™ Foundation. The free and open software security community. URL: https://www.owasp.org/index.php/Top_10- 2017_Top_10, 2017. Módulo VII – Desenvolvimento Web

Mais conteúdo relacionado

PDF
Aula 03 - Autenticação quebrada (Broken Authentication)
porAlex Camargo
 
PDF
Aula 5 - Considerações finais
porAlex Camargo
 
PDF
Aula 04 - Injeção de código (Cross-Site Scripting)
porAlex Camargo
 
PDF
Implementação de políticas de segurança no Asp.Net Core
porAlexandre Malavasi
 
PPT
Sql injection
porTiago Natel de Moura
 
PDF
Introdução à SQL Injection
porledsifes
 
PPT
Seminário PHP Injection/ SQL Injection
porDavi Rodrigues
 
PDF
A1 - Sql Injection na Prática Parte 01
porReinaldo Junior
 
Aula 03 - Autenticação quebrada (Broken Authentication)
porAlex Camargo
 
Aula 5 - Considerações finais
porAlex Camargo
 
Aula 04 - Injeção de código (Cross-Site Scripting)
porAlex Camargo
 
Implementação de políticas de segurança no Asp.Net Core
porAlexandre Malavasi
 
Sql injection
porTiago Natel de Moura
 
Introdução à SQL Injection
porledsifes
 
Seminário PHP Injection/ SQL Injection
porDavi Rodrigues
 
A1 - Sql Injection na Prática Parte 01
porReinaldo Junior
 

Semelhante a Aula 02 - Injeção de dados (SQL injection)

PPTX
Web Hacking
porDenny Vriesman
 
PDF
Web App Flaws - SQL Injection
porDavid Gomes Guimarães
 
PPTX
Aula 8 - SQL Injection
porCarlos Henrique Martins da Silva
 
ODP
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
porErick Belluci Tedeschi
 
PDF
Google hacking e SQL Injection: Tudo junto e misturado!
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
Web app flaws
porDavid Guimarães
 
PDF
Estudo visando a mitigação do ataque sql injection em aplicações web
porTiago Carmo
 
PDF
Segurança em php
porCOTIC-PROEG (UFPA)
 
PDF
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
porThiago Dieb
 
PDF
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
porAs Zone
 
PDF
Segurança Web com PHP5
porDouglas V. Pasqua
 
PPTX
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
porAlcyon Ferreira de Souza Junior, MSc
 
PPTX
Desenvolvimento de software seguro
porCharles Fortes
 
PDF
Google Hacking e SQL Injection: Tudo junto e misturado!
porAlcyon Ferreira de Souza Junior, MSc
 
PPTX
Blind SQL Injection Ameaça Oculta - do Ataque a Defesa
porFlavio Shiga
 
PPTX
Blind SQL Injection Ameaça Oculta - do Ataque a Defesa
porFlavio Shiga
 
PPTX
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
Teste de segurança do lado servidor - Nível 1
porKleitor Franklint Correa Araujo
 
PDF
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
porThiago Dieb
 
PPSX
Segurança Web: O MMA da Tecnologia
porCarlos Nilton Araújo Corrêa
 
Web Hacking
porDenny Vriesman
 
Web App Flaws - SQL Injection
porDavid Gomes Guimarães
 
Aula 8 - SQL Injection
porCarlos Henrique Martins da Silva
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
porErick Belluci Tedeschi
 
Google hacking e SQL Injection: Tudo junto e misturado!
porAlcyon Ferreira de Souza Junior, MSc
 
Web app flaws
porDavid Guimarães
 
Estudo visando a mitigação do ataque sql injection em aplicações web
porTiago Carmo
 
Segurança em php
porCOTIC-PROEG (UFPA)
 
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
porThiago Dieb
 
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
porAs Zone
 
Segurança Web com PHP5
porDouglas V. Pasqua
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
porAlcyon Ferreira de Souza Junior, MSc
 
Desenvolvimento de software seguro
porCharles Fortes
 
Google Hacking e SQL Injection: Tudo junto e misturado!
porAlcyon Ferreira de Souza Junior, MSc
 
Blind SQL Injection Ameaça Oculta - do Ataque a Defesa
porFlavio Shiga
 
Blind SQL Injection Ameaça Oculta - do Ataque a Defesa
porFlavio Shiga
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
porAlcyon Ferreira de Souza Junior, MSc
 
Teste de segurança do lado servidor - Nível 1
porKleitor Franklint Correa Araujo
 
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
porThiago Dieb
 
Segurança Web: O MMA da Tecnologia
porCarlos Nilton Araújo Corrêa
 

Mais de Alex Camargo

PDF
Experiencia Profissional - Desafios Contemporâneos (TEOLOGIA/UNIASSELVI)
porAlex Camargo
 
PDF
Experiencia Profissional - Carreira e Sucesso (TEOLOGIA/UNIASSELVI)
porAlex Camargo
 
PDF
Bíblia-IA Inteligência Abençoada - Pitchdeck (ES)
porAlex Camargo
 
PDF
Startub Lab - Workshop de Inovação Aberta
porAlex Camargo
 
PDF
Curso de Inclusão Digital - Instituto Cooperconecta e Urcamp
porAlex Camargo
 
PDF
SNCT URCAMP - UMA PROPOSTA DE UM SOFTWARE PARA GERENCIAMENTO DE CICLOS DE INO...
porAlex Camargo
 
PDF
Palestra Rotary - Crimes e Fraudes na Internet
porAlex Camargo
 
PDF
Curso Método Teologia Fácil - Sociologia (SLIDES)
porAlex Camargo
 
PDF
Curso Método Teologia Fácil - Hermenêutica (SLIDES)
porAlex Camargo
 
PDF
Curso Método Teologia Fácil - Pneumatologia (SLIDES)
porAlex Camargo
 
PDF
Curso Método Teologia Fácil - Eclesiologia (SLIDES)
porAlex Camargo
 
PDF
Curso Método Teologia Fácil - Demonologia (SLIDES)
porAlex Camargo
 
PDF
Curso Método Teologia Fácil - Metodologia (SLIDES)
porAlex Camargo
 
PDF
Ecossistema de Inovação de Bagé (ECOBAH) - Apresentação
porAlex Camargo
 
PDF
Feira do Livro de Bagé 2023 - Inovação e Startups
porAlex Camargo
 
PDF
Escola Bíblica - Eclesiologia
porAlex Camargo
 
PDF
Escola Bíblica - Demonologia
porAlex Camargo
 
PDF
Python para finanças: explorando dados financeiros
porAlex Camargo
 
PDF
A practical guide: How to use Bitcoins?
porAlex Camargo
 
PDF
IA e Bioinformática: modelos computacionais de proteínas
porAlex Camargo
 
Experiencia Profissional - Desafios Contemporâneos (TEOLOGIA/UNIASSELVI)
porAlex Camargo
 
Experiencia Profissional - Carreira e Sucesso (TEOLOGIA/UNIASSELVI)
porAlex Camargo
 
Bíblia-IA Inteligência Abençoada - Pitchdeck (ES)
porAlex Camargo
 
Startub Lab - Workshop de Inovação Aberta
porAlex Camargo
 
Curso de Inclusão Digital - Instituto Cooperconecta e Urcamp
porAlex Camargo
 
SNCT URCAMP - UMA PROPOSTA DE UM SOFTWARE PARA GERENCIAMENTO DE CICLOS DE INO...
porAlex Camargo
 
Palestra Rotary - Crimes e Fraudes na Internet
porAlex Camargo
 
Curso Método Teologia Fácil - Sociologia (SLIDES)
porAlex Camargo
 
Curso Método Teologia Fácil - Hermenêutica (SLIDES)
porAlex Camargo
 
Curso Método Teologia Fácil - Pneumatologia (SLIDES)
porAlex Camargo
 
Curso Método Teologia Fácil - Eclesiologia (SLIDES)
porAlex Camargo
 
Curso Método Teologia Fácil - Demonologia (SLIDES)
porAlex Camargo
 
Curso Método Teologia Fácil - Metodologia (SLIDES)
porAlex Camargo
 
Ecossistema de Inovação de Bagé (ECOBAH) - Apresentação
porAlex Camargo
 
Feira do Livro de Bagé 2023 - Inovação e Startups
porAlex Camargo
 
Escola Bíblica - Eclesiologia
porAlex Camargo
 
Escola Bíblica - Demonologia
porAlex Camargo
 
Python para finanças: explorando dados financeiros
porAlex Camargo
 
A practical guide: How to use Bitcoins?
porAlex Camargo
 
IA e Bioinformática: modelos computacionais de proteínas
porAlex Camargo
 

Aula 02 - Injeção de dados (SQL injection)

  • 1.
    SQLSQL InjectionInjection Prof. AlexDias Camargo alexcamargoweb@gmail.com REPÚBLICA FEDERATIVA DO BRASIL UNIVERSIDADE HACKER INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS MÓDULO VII – DESENVOLVIMENTO WEB
  • 2.
    2 I. Plano deaula Na aula anterior foi visto:  Arquitetura Web  Riscos de uma aplicação Módulo VII – Desenvolvimento Web
  • 3.
    3 I. Plano deaula Nesta aula será apresentado:  Conceitos de injeção de dados  Exemplo prático: PHP e MySQL Módulo VII – Desenvolvimento Web
  • 4.
    4 1. Introdução Os ataquesde injeção acontecem quando dados não confiáveis são enviados para um interpretador por meio de uma entrada de formulário ou algum outro envio de dados.  Cenário: um sistema acadêmico utiliza dados não validados na construção de uma chamada SQL para exibir o histórico de um aluno.  Ataque: Injeção de SQL via GET na URL.  Ambiente: Apache 2.4, PHP 5.6, MySQL 5.7.  Repositório: https://github.com/alexcamargoweb/unihacker Módulo VII – Desenvolvimento Web
  • 5.
    5 1. Introdução Módulo VII– Desenvolvimento Web Figura. Banco de dados: visão geral.
  • 6.
    6 1. Introdução Módulo VII– Desenvolvimento Web Figura. Consulta ao banco de dados: acesso padrão. Parâmetro via GET
  • 7.
    7 1. Introdução Módulo VII– Desenvolvimento Web Figura. Consulta ao banco de dados: acesso malicioso. Parâmetro via GET + ‘ OR 1=1 – ‘
  • 8.
    8 1. Introdução Módulo VII– Desenvolvimento Web Figura. Consulta ao banco de dados: código com vulnerabilidade. Parâmetro via GET sem filtro!
  • 9.
    9 1. Introdução Módulo VII– Desenvolvimento Web Figura. Consulta ao banco de dados: código com vulnerabilidade filtrada. Parâmetro via GET com filtro!
  • 10.
    10 1. Introdução Módulo VII– Desenvolvimento Web Figura. Consulta ao banco de dados: restante do código-fonte.
  • 11.
    11 2. Exercícios 1. Respondao quiz sobre SQL Injection: SQL Server Questions and Answers – SQL Injection https://moodle.unihacker.club/mod/url/view.php?id=173 Módulo VII – Desenvolvimento Web
  • 12.
    12 Referências básicas OWASP, Top.Top 10-2017. The Ten Most Critical Web Application Security Risks. OWASP™ Foundation. The free and open software security community. URL: https://www.owasp.org/index.php/Top_10- 2017_Top_10, 2017. Módulo VII – Desenvolvimento Web