Download docx - Evitando SQL Injection

Transcript

Evitando SQL Injection

Erros comuns:No fazer validao da entrada de dados no formulrio permitindo caracteres invlidos;Construir instrues SQL diretamente da entrada do usurio;Permitir que mensagens de erros mostrem informaes sobre a estrutura dos dados;Como evitar:Estabelea uma poltica de segurana rgida e criteriosa limitando o acesso dos seus usurios. Isto quer dizer que voc deve dar somente os poderes necessrios aos seus usurios. No de acesso de escrita a tabelas e d somente acesso as tabelas que o usurio vai precisar.Fazer validao das entradas de dados evitando caracteres invlidos como: (') , (--) e (;) nem palavras reservadas como insert , drop , delet.Nunca concatene entrada de usurio que no seja validada. A concatenao de cadeia de caracteres o ponto principal de entrada de injeo de script;

Alguns exemplos de funes que ajudam a melhorar a segurana contra SQL injection:- Substituindo o apstrofe(') pelo duplo apstrofe ('')

- Rejeitando os dados maliciosos:

A Microsoft lanou um kit de ferramentas que pretende auxiliar desenvolvedores e administradores de websites a bloquear e erradicar a recente onda de ataques de SQL Injection (Injeo SQL). As ferramentas, que so voltadas para desenvolvedores web e administradores de TI, buscam auxiliar a identificao de pontos frgeis em scripts ASP que poderiam ser explorados em um ataque de injeo SQL.As ferramentas so:Scrawlr - Examina os arquivos do site e simultaneamente analisa os parmetros usados em cada pgina buscando por vulnerabilidades do injeo SQL. Microsoft Source Code Analyzer for SQL Injection - Chamada de MSCASI, esta uma ferramenta de anlise esttica para anlise dos cdigos em ASP. Para execut-la necessrio ter acesso ao cdigo fonte da pgina. URLScan 3.1 - Esta ferramenta restringe os tipos de solicitaes HTTP que o IIS (Internet Information Services) ir processar. Ao bloquear alguns tipos especficos de solicitaes, a ferramenta pode prevenir certos ataques.