Julgue o próximo item, relativo a vulnerabilidades em aplica...

Alternativa correta: C - certo

Vamos entender por que essa é a resposta correta.

Um ataque de injeção SQL é uma técnica usada por atacantes para explorar vulnerabilidades em aplicativos web, permitindo que eles insiram ou "injetem" comandos SQL maliciosos em uma consulta SQL que será executada pelo banco de dados.

Quando uma aplicação web não valida corretamente as entradas fornecidas pelo usuário, essas entradas podem ser manipuladas para incluir código SQL malicioso. Esse código pode ser usado para realizar diversas ações prejudiciais, como:

• Obtendo acesso não autorizado a dados sensíveis armazenados no banco de dados;
• Modificando ou deletando dados de maneira não autorizada;
• Executando comandos administrativos no banco de dados.

A questão está correta ao afirmar que um ataque de injeção SQL permite a passagem de parâmetros SQL via entrada de dados da aplicação e a execução desses parâmetros no banco de dados.

Para resolver essa questão, é necessário ter conhecimento sobre vulnerabilidades em aplicações web, especialmente a injeção SQL, que é uma das mais comuns e perigosas. Compreender como esses ataques funcionam e quais são as consequências é fundamental para qualquer profissional de segurança da informação.

Justificativa da alternativa correta:

A alternativa está correta porque descreve com precisão o mecanismo de um ataque de injeção SQL. Esse tipo de ataque realmente envolve a inserção de comandos SQL através de entradas de dados fornecidas pelo usuário, que são posteriormente executados pelo banco de dados sem a devida validação.

Alternativas incorretas:

Não há alternativas incorretas listadas, pois a questão é do tipo "certo ou errado". No entanto, se houvesse alternativas incorretas, elas poderiam descrever incorretamente o processo ou confundir a injeção SQL com outro tipo de ataque, como XSS (Cross-Site Scripting) ou CSRF (Cross-Site Request Forgery), que têm mecanismos e impactos diferentes.

Espero que esta explicação tenha sido clara e útil. Se tiver mais dúvidas sobre o tema, estou à disposição para ajudar!

OWASP

A1:2017-Injeção: Falhas de injeção, tais como injeções de SQL, OS e LDAP ocorrem quando dados nãoconfiáveis são enviados para um interpretador como parte de um comando ou consulta legítima. Os dados hostis do atacante podem enganar o interpretador levando-o a executar comandos não pretendidos ou a aceder a dados sem a devida autorização.

Fonte: https://wiki.owasp.org/images/0/06/OWASP_Top_10-2017-pt_pt.pdf

A03:2021 – Injeção: Algumas das injeções mais comuns são SQL, NoSQL, comando OS, Mapeamento Relacional de Objeto (ORM), LDAP e Linguagem de Expressão (EL) ou injeção de Biblioteca de Navegação de Gráfico de Objeto (OGNL). O conceito é idêntico entre todos os intérpretes. A revisão do código-fonte é o melhor método para detectar se os aplicativos são vulneráveis a injeções. O teste automatizado de todos os parâmetros, cabeçalhos, URL, cookies, JSON, SOAP e entradas de dados XML são fortemente encorajados. As organizações podem incluir ferramentas de teste de segurança de aplicações estáticos (SAST), dinâmicos (DAST) e interativos (IAST) no pipeline de CI/CD para identificar as falhas de injeção introduzidas antes da implantação da produção.

Fonte: https://owasp.org/Top10/pt_BR/A03_2021-Injection/

Uma injeção de SQL, às vezes abreviada como SQLi, é um tipo de vulnerabilidade em que um invasor usa uma parte do código SQL (Structured Query Language) para manipular um banco de dados e obter acesso a informações potencialmente valiosas.

Certo. Um ataque de injeção SQL ocorre quando um invasor consegue inserir comandos SQL maliciosos através de entradas de dados da aplicação, permitindo que esses comandos sejam executados no banco de dados

SQL (Structured Query Language) é uma linguagem de programação utilizada para realizar operações em bancos de dados relacionais. Com o SQL, é possível realizar diversas operações, como inserir, atualizar, recuperar e excluir dados de um banco de dados, além de definir e manipular a estrutura do banco de dados, como tabelas, índices, procedimentos armazenados e funções.

o objetivo de uma injeção de SQL é manipular o banco de dados subjacente.

obs: essa técnica é amplamente explorada em sistemas que utilizam consultas SQL2 dinâmicas para interagir com um banco de dados