No tópico segurança de aplicações web, o plano deve consi...

Alternativa correta: C - Certo

A questão aborda a importância do ataque de injeção no contexto da segurança de aplicações web, destacando sua facilidade de explorabilidade e o alto impacto técnico que pode causar, como vazamento de dados, perda de integridade e contabilização.

No campo da segurança de aplicações web, um dos modelos amplamente adotados para garantir a segurança é o da OWASP (Open Web Application Security Project). Um aspecto crucial desse modelo é o ataque de injeção, que é considerado uma das ameaças mais significativas.

Esses ataques, como SQL Injection e Command Injection, são conhecidos por sua facilidade de exploração e pelo alto impacto que podem causar em sistemas, como:

• Vazamento de dados: Exposição de informações sensíveis.
• Perda de integridade: Adulteração ou modificação de dados que comprometem a confiabilidade das informações.
• Perda de contabilização: Alterações que podem afetar registros financeiros e operacionais.

Os ataques de injeção são frequentemente explorados através de ferramentas como scanners e fuzzers, que automatizam a detecção de vulnerabilidades, tornando esses ataques ainda mais perigosos.

Portanto, ao considerar um plano de segurança para aplicações web, é fundamental priorizar a mitigação de ataques de injeção devido à sua alta probabilidade de exploração e ao impacto significativo que podem causar.

Com isso, a alternativa C - Certo está correta, pois a questão reconhece adequadamente a importância de tratar os ataques de injeção como uma das principais ameaças em segurança de aplicações web.

Gabarito Certo

Os ataques por injeção de SQL são uma prática antiga, mas ainda bastante comum no mundo corporativo. Trata-se de um método que ataca aplicações web que possuem um repositório de dados.

Diferentemente dos ataques distribuídos de negação de serviço (em inglês, Distributed Denial of Service – DDoS), que podem ser executados independentemente da arquitetura do servidor, os ataques por injeção de SQL dependem apenas da presença de uma falha no software do alvo, ou do uso de más práticas de código.

No passado, empresas como Yahoo e The Pirate Bay, universidades e pequenos serviços governamentais foram vítimas desse tipo de ataque.

A maioria dos aplicativos web usa uma linguagem conhecida como SQL. Os ataques por injeção de SQL consistem no envio de um código SQL especialmente projetado para causar alguma ação maliciosa. O aplicativo então incorpora o código à sua estrutura e, no final, a injeção de SQL acaba garantindo ao hacker acesso à base de dados, expondo informações, ou até dando permissão de escrita e controle total dos dados.

POR QUE ESSE TIPO DE ATAQUE AINDA É COMUM

Um dos motivos pelos quais os ataques por injeção de SQL ainda são comuns é que as vulnerabilidades e os atrativos dos alvos desses ataques ainda existem. Bases de dados contendo informações críticas para uma aplicação nunca deixaram de ser interessantes para os hackers.

Além disso, ataques por injeção de SQL não precisam de muito para serem bem sucedidos. Basta um único computador, um pouco de paciência, tentativa, erro, ingenuidade e um pouco de sorte para dar certo.

Alguns ataques resultam de desenvolvimento preguiçoso e más práticas de programação, mas, na realidade, há vários outros erros que comuns que as empresas ainda cometem. Conheça alguns:

Ignorar os princípios mínimos de privilégios;

Conglomerar dados sensíveis;

Confiar cegamente nas entradas de usuários.

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

GABARITO: CERTO.

Os ataques de injeção de SQL são uma das vulnerabilidades mais antigas das aplicações da Web, que têm sido discutidas desde o final dos anos 90, mas ainda permanecem relevantes hoje. Este explicador descreve o que são, como funcionam e como você pode evitá-los.

Uma injeção de SQL, às vezes abreviada como SQLi, é um tipo de vulnerabilidade em que um invasor usa uma parte do código SQL (Structured Query Language) para manipular um banco de dados e obter acesso a informações potencialmente valiosas. Esse é um dos tipos de ataque mais comuns e perigosos porque pode ser usado contra qualquer aplicação de Web ou site que utilize um banco de dados SQL (ou seja, a maioria deles).

Para entender a injeção de SQL, é importante saber o que é Structured Query Language (SQL). A SQL é uma linguagem de consulta usada em programação para acessar, modificar e excluir dados armazenados em bancos de dados relacionais. Como a grande maioria dos sites e aplicativos da Web depende de bancos de dados SQL, um ataque de injeção de SQL pode ter sérias consequências para as organizações.

Uma consulta SQL é uma solicitação enviada a um banco de dados para que seja realizado algum tipo de atividade ou função, como consulta de dados ou execução de código SQL a ser realizada. Um exemplo é quando as informações de login são enviadas através de um formulário web para permitir o acesso de um usuário a um site. Normalmente, esse tipo de formulário da Web é projetado para aceitar somente alguns tipos específicos de dados, como um nome e/ou uma senha. Ao serem inseridas, essas informações são verificadas no banco de dados e, se corresponderem, o usuário terá permissão de acesso. Caso contrário, o acesso será negado.

Possíveis problemas ocorrem porque a maioria dos formulários da Web não consegue impedir a entrada de informações adicionais. Os invasores podem explorar esse ponto fraco e usar caixas de entrada no formulário para enviar suas próprias solicitações ao banco de dados. Isso poderia permitir a realização de uma série de atividades mal-intencionadas, como roubo de dados confidenciais e manipulação de informações no banco de dados para seus próprios fins.

Devido à predominância de sites e servidores que utilizam bancos de dados, as vulnerabilidades de injeção de SQL são um dos tipos mais antigos e comuns de ataque cibernético. A evolução da comunidade de hackers aumentou o risco desse tipo de ataque, principalmente com o surgimento de ferramentas para detectar e explorar a injeção de SQL. Disponibilizadas livremente por desenvolvedores de código aberto, essas ferramentas permitem que cibercriminosos conduzam ataques automáticos em questão de alguns minutos, permitindo que acessem qualquer tabela ou coluna do banco de dados apenas com um processo de clicar e atacar.

https://www.kaspersky.com.br/resource-center/definitions/sql-injection