Julgue o item a seguir, quanto às ferramentas e técnicas de ...

A alternativa correta é: C - certo.

Vamos entender melhor o porquê. A questão aborda um tema crucial em Segurança da Informação, especificamente relacionado a vulnerabilidades em aplicações web.

Quando uma aplicação permite que comandos SQL sejam digitados nos inputs de seus formulários e concatenados diretamente nos comandos SQL da própria aplicação sem que haja validação ou tratamento, ela está vulnerável ao ataque conhecido como SQL Injection.

Esse tipo de ataque ocorre quando um atacante insere ou "injeta" uma parte de código SQL malicioso em uma consulta SQL, com o objetivo de manipular o banco de dados subjacente. Sem a devida validação e tratamento dos dados de entrada, a aplicação executa comandos SQL não autorizados, permitindo, por exemplo, a extração de informações confidenciais ou a alteração de dados.

Justificativa da alternativa correta:

A alternativa é correta porque a descrição do cenário de vulnerabilidade corresponde exatamente ao ataque de SQL Injection. A falta de validação ou tratamento dos dados inseridos nos inputs dos formulários, quando concatenados diretamente nos comandos SQL, resulta nessa vulnerabilidade.

Explanação sobre a importância do conhecimento:

O OWASP (Open Web Application Security Project) é uma organização mundialmente reconhecida que se dedica a melhorar a segurança do software. Ela fornece uma lista atualizada das principais ameaças e vulnerabilidades em aplicações web, conhecida como OWASP Top Ten. O SQL Injection tem figurado consistentemente entre as principais vulnerabilidades dessa lista, demonstrando sua relevância e a necessidade de atenção especial por parte dos desenvolvedores e profissionais de segurança.

Para evitar esse tipo de ataque, técnicas como a utilização de prepared statements ou declarações preparadas, o uso de ORM (Mapeamento objeto-relacional), e a correta validação e sanitização dos dados de entrada são essenciais.

A compreensão de tais vulnerabilidades e a implementação de boas práticas de segurança são fundamentais para qualquer profissional da área de TI, especialmente aqueles envolvidos na segurança da informação e na gestão de riscos.

Espero que essa explicação tenha esclarecido o tema. Fique à vontade para fazer mais perguntas ou solicitar mais exemplos!

CERTO

Segundo Ferreira (2017, p.4):

O SQL Injection é um ataque bem simples de ser realizado, pois basicamente a ideia dele consiste em digitar comandos SQL nos inputs de formulários da aplicação. Se os valores digitados pelos usuários nos campos forem concatenados diretamente nos comandos SQL, sem ser realizada uma validação ou tratamento antes, certamente ela estará vulnerável a esse tipo de ataque

Risco de segurança 01 do OWASP 2017

Falhas de injeção, tais como injeções de SQL, OS e LDAP ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta legítima.

Os dados hostis do atacante podem enganar o interpretador levando-o a executar comandos não pretendidos ou a aceder a dados sem a devida autorização.

Fonte: https://owasp.org/www-project-top-ten/

Structured Query Language.

Tradução: Linguagem de Consulta Estruturada.

É a linguagem básica para consultas em banco de dados. Os diferentes bancos de dados compreendem as cláusulas SQL padrão.

A CONSTANTE REPETIÇÃO LEVA A CONVICÇÃO!

GABARITO: CERTO

Antes de tudo é valido relembrar que SQL é a linguagem utilizada nos bancos de dados. Ao realizar esse ataque SQL Injectio o criminoso consegue o acesso ao banco de dados, e a partir disso pode fazer modificações, exclusões etc.

Portanto, eu digo: Tudo o que vocês pedirem em oração, creiam que já o receberam, e assim sucederá.

Marcos 11:24

NÃO DESISTA! DEUS TE AMA!

CERTO!

O SQL Injection é uma técnica de ataque em que um invasor insere comandos SQL maliciosos ou não autorizados em uma aplicação, explorando a falta de validação ou sanitização dos dados fornecidos pelos usuários. Ao inserir comandos SQL nos inputs da aplicação, o invasor pode manipular a lógica das consultas SQL, obter informações sensíveis do banco de dados, modificar ou excluir dados e até mesmo executar comandos indesejados no sistema subjacente.