TDC 2011 - Arquitetura de desfesa contra injeção de SQL
-
Upload
luis-asensio -
Category
Education
-
view
1.243 -
download
0
Transcript of TDC 2011 - Arquitetura de desfesa contra injeção de SQL
Arquitetura de defesa e exposição de dados por injeção
Luis Asensio
Mini Curriculo
Luis Asensio:Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na área da Segurança da Informação.
A migração dos ataques
A realidade está próxima de nós.
Exposição de dados por injeção.
Tipos de injeção de código:
● Injeção de HTML e JavaScript● Injeção de SQL● Injeção de PHP● Injeção de HTTP● Injeção de e-mail(SMTP)● Injeção de inclusão de arquivos● Injeção de Shell
Arquitetura de defesa
Como evitar esse ataque?● Utilizar sempre queries parametrizadas;● Conceder privilegio a objetos de banco
necessários para a aplicação;● Evitar expor mensagens de erros com muito
detalhes;● Utilizar stored procedure quando possível;● Tratar envio de código de "escape"
(encoding);● Desativar contas padrões (Ex.: SYSDBA,
SDB,Sccot, etc).
ConclusãoNão existe a bala de prata para resolver todas as vulnerabilidades.
O desenvolvedor tem que atualizar-se sobre vulnerabilidades que podem expor o seu sistema. https://www.owasp.org