Análise da vulnerabilidade no acesso a banco de dados na web por meio da injeção de comandos

Abstract

O grande aumento no número de usuários da Internet vem chamando a atenção de pessoas mal intencionadas, que vêem na rede, uma forma fácil de se beneficiar diante de alguma falha ou vulnerabilidade das aplicações. Isso ocorre porque muitas empresas acabam desenvolvendo seus sites de forma insegura, não tomando as devidas providências em relação à segurança e conseqüentemente acabam se expondo. Uma forma de vulnerabilidade encontrada em alguns destes sites é o SQL Injection, que consiste na inserção de comandos SQL nas entradas de formulários que irão realizar consultas a bancos de dados, com o objetivo de conseguir efetuar um login ou capturar alguma informação. Este problema poderia ser solucionado se fosse feita uma validação da entrada, pois nela poderiam ser evitados alguns caracteres que podem ser utilizados no ataque. O ataque de SQL Injection permite ao invasor consultar informações que estiverem cadastradas em bancos de dados, excluí-las, modifica-las, entre outros. Uma das maneiras que poderiam evitar um desastre ainda maior seria restringir ao máximo o privilégio das contas, pois se o invasor conseguir acessar uma conta muito privilegiada poderá fazer todo tipo de operação no banco de dados.