Ataques SQL injections: formas de ataque e contramedidas

Abstract

O uso de sistemas de informação de maneira geral está cada vez mais presente no cotidiano das pessoas. Atualmente os sistemas de informação desenvolvidos para web, usando sistemas de bancos de dados, tornaram-se mais presentes, bem como a crescente utilização da Internet, tanto por organizações quanto por usuários de maneira geral. Esses aspectos provocaram a atenção cada vez maior de atacantes, diversificando os tipos de ataques e suas complexidades. Sistemas de informação usando bancos de dados são vulneráveis a um tipo de ataque denominado SQLInjection – injeção SQL, entre outros. O ataque de injeção SQL faz parte de um conjunto de ataques denominados injeção de código. A principal característica deste conjunto de ataques é a utilização de entradas de usuários como meio de ataque para executar comandos não autorizados. Estes comandos podem provocar respostas favoráveis aos atacantes e muito desfavoráveis às organizações ou usuários, pois podem fornecer dados confidenciais, alterar ou apagar dados existentes na base de dados. Este trabalho apresenta uma pesquisa bibliográfica detalhada sobre ataques do tipo injeção de código, ferramentas utilizadas para realizar injeção de SQL e contramedidas existentes para mitigar este tipo de ataque. Apresenta, também, um experimento realizado, as ferramentas utilizadas para simular ataques de injeção de código e os resultados obtidos pelo experimento. Finalmente o trabalho apresenta algumas contramedidas adicionais para a mitigação deste tipo de ataque.

The use of information systems in general is increasingly present in people's daily lives. Currently, information systems developed for the web, using database systems, have become more common, as well as the growing use of the Internet, both by organizations and by users in general. These aspects have attracted increasing attention from attackers, diversifying the types of attacks and their complexities. Information systems using databases are vulnerable to a type of attack called SQL Injection, among others. The SQL injection attack is part of a set of attacks called code injection. The main feature of this set of attacks is the use of user input as a means of attack to execute unauthorized commands. These commands can provoke responses favorable to the attackers and very unfavorable to the organizations or users, since they can provide confidential data, alter, or delete existing data in the database. This work presents a detailed bibliographic research on code injection attacks, tools used to perform SQL injection and existing countermeasures to mitigate this type of attack. It also presents an experiment carried out, the tools used to simulate code injection attacks and the results obtained by the experiment. Finally, the paper presents some additional countermeasures to mitigate this type of attack.