content/pt-br/images/repository/isc/42-SQL.jpg

Uma injeção de SQL é um tipo de ataque cibernético em que o hacker usa uma parte do código SQL (Structured Query Language) para manipular um banco de dados e obter acesso a informações potencialmente valiosas.

Esse é um dos tipos de ataque mais comuns e perigosos porque pode ser usado contra qualquer aplicativo Web ou site que utilize um banco de dados SQL.

Exemplos notáveis incluem os ataques contra a Sony Pictures e a Microsoft, entre outros.

Como funciona a injeção de SQL?

Durante a atividade do software padrão, uma consulta SQL é basicamente uma solicitação enviada ao banco de dados — um repositório computadorizado de informações — de algum tipo de atividade ou função, como uma consulta de dados ou execução do código SQL.

Um exemplo é o envio de informações de login em um formulário da Web para permitir que um usuário acesse um site.

Normalmente, esse tipo de formulário da Web é projetado para aceitar somente alguns tipos específicos de dados, como um nome e/ou uma senha. Ao serem inseridas, essas informações são verificadas no banco de dados e, se forem compatíveis, o usuário terá permissão de acesso. Caso contrário, o acesso será negado.

Possíveis problemas ocorrem porque a maioria dos formulários da Web não consegue impedir a entrada de informações adicionais. Os hackers podem explorar esse ponto fraco e usar caixas de entrada no formulário para enviar suas próprias solicitações ao banco de dados. Isso poderia permitir a realização de uma série de atividades mal-intencionadas, como roubo de dados confidenciais e manipulação de informações no banco de dados para seus próprios fins.

Um problema crescente

Devido à predominância de sites e servidores que utilizam bancos de dados, a injeção de SQL é um dos métodos mais comuns e antigos de ataque cibernético.

A evolução da comunidade de hackers aumentou o risco desse tipo de ataque, principalmente com o surgimento de programas automatizados de injeção de SQL.

Disponibilizados livremente por desenvolvedores de código aberto, os programas automatizados de injeção de SQL permitem que criminosos virtuais conduzam ataques automáticos em questão de alguns minutos, o que os possibilita acessar qualquer tabela ou coluna do banco de dados apenas com um processo de clicar e atacar.

Prevenção

Há várias maneiras de evitar esses tipos de ataque, incluindo o uso de um aplicativo de firewall da Web, como os firewalls encontrados em diversas soluções de segurança da Kaspersky. Outra medida preventiva é criar várias contas de usuários no banco de dados para que apenas indivíduos específicos e confiáveis possam acessá-lo.

Artigos relacionados:

Produtos relacionados:

O que é injeção de SQL?

Uma injeção de SQL é um tipo de ataque cibernético em que o hacker usa uma parte do código SQL (Structured Query Language) para manipular um banco de dados e obter acesso a informações potencialmente valiosas.
Kaspersky Logo