Arquitetura de defesa e exposição de dados por injeção

Luis Asensio

Mini Curriculo

Luis Asensio:Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na área da Segurança da Informação.

A migração dos ataques

A realidade está próxima de nós.

Exposição de dados por injeção.

Tipos de injeção de código:

● Injeção de HTML e JavaScript● Injeção de SQL● Injeção de PHP● Injeção de HTTP● Injeção de e-mail(SMTP)● Injeção de inclusão de arquivos● Injeção de Shell

Arquitetura de defesa

Como evitar esse ataque?● Utilizar sempre queries parametrizadas;● Conceder privilegio a objetos de banco

necessários para a aplicação;● Evitar expor mensagens de erros com muito

detalhes;● Utilizar stored procedure quando possível;● Tratar envio de código de "escape"

(encoding);● Desativar contas padrões (Ex.: SYSDBA,

SDB,Sccot, etc).

ConclusãoNão existe a bala de prata para resolver todas as vulnerabilidades.

O desenvolvedor tem que atualizar-se sobre vulnerabilidades que podem expor o seu sistema. https://www.owasp.org

Obrigado!

Contatos:

Twitter: LuisAsensioBlog: http://lasensio.blogspot.comE-mail: asensio@ig.com.br