TDC 2011 - Arquitetura de desfesa contra injeção de SQL
-
Upload
luis-asensio -
Category
Education
-
view
1.243 -
download
0
Transcript of TDC 2011 - Arquitetura de desfesa contra injeção de SQL
![Page 1: TDC 2011 - Arquitetura de desfesa contra injeção de SQL](https://reader035.fdocumentos.com/reader035/viewer/2022071813/55a493cb1a28ab201b8b4583/html5/thumbnails/1.jpg)
Arquitetura de defesa e exposição de dados por injeção
Luis Asensio
![Page 2: TDC 2011 - Arquitetura de desfesa contra injeção de SQL](https://reader035.fdocumentos.com/reader035/viewer/2022071813/55a493cb1a28ab201b8b4583/html5/thumbnails/2.jpg)
Mini Curriculo
Luis Asensio:Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na área da Segurança da Informação.
![Page 3: TDC 2011 - Arquitetura de desfesa contra injeção de SQL](https://reader035.fdocumentos.com/reader035/viewer/2022071813/55a493cb1a28ab201b8b4583/html5/thumbnails/3.jpg)
A migração dos ataques
![Page 4: TDC 2011 - Arquitetura de desfesa contra injeção de SQL](https://reader035.fdocumentos.com/reader035/viewer/2022071813/55a493cb1a28ab201b8b4583/html5/thumbnails/4.jpg)
A realidade está próxima de nós.
![Page 5: TDC 2011 - Arquitetura de desfesa contra injeção de SQL](https://reader035.fdocumentos.com/reader035/viewer/2022071813/55a493cb1a28ab201b8b4583/html5/thumbnails/5.jpg)
Exposição de dados por injeção.
![Page 6: TDC 2011 - Arquitetura de desfesa contra injeção de SQL](https://reader035.fdocumentos.com/reader035/viewer/2022071813/55a493cb1a28ab201b8b4583/html5/thumbnails/6.jpg)
Tipos de injeção de código:
● Injeção de HTML e JavaScript● Injeção de SQL● Injeção de PHP● Injeção de HTTP● Injeção de e-mail(SMTP)● Injeção de inclusão de arquivos● Injeção de Shell
![Page 7: TDC 2011 - Arquitetura de desfesa contra injeção de SQL](https://reader035.fdocumentos.com/reader035/viewer/2022071813/55a493cb1a28ab201b8b4583/html5/thumbnails/7.jpg)
Arquitetura de defesa
![Page 8: TDC 2011 - Arquitetura de desfesa contra injeção de SQL](https://reader035.fdocumentos.com/reader035/viewer/2022071813/55a493cb1a28ab201b8b4583/html5/thumbnails/8.jpg)
Como evitar esse ataque?● Utilizar sempre queries parametrizadas;● Conceder privilegio a objetos de banco
necessários para a aplicação;● Evitar expor mensagens de erros com muito
detalhes;● Utilizar stored procedure quando possível;● Tratar envio de código de "escape"
(encoding);● Desativar contas padrões (Ex.: SYSDBA,
SDB,Sccot, etc).
![Page 9: TDC 2011 - Arquitetura de desfesa contra injeção de SQL](https://reader035.fdocumentos.com/reader035/viewer/2022071813/55a493cb1a28ab201b8b4583/html5/thumbnails/9.jpg)
ConclusãoNão existe a bala de prata para resolver todas as vulnerabilidades.
O desenvolvedor tem que atualizar-se sobre vulnerabilidades que podem expor o seu sistema. https://www.owasp.org