null

Uma breve contextualização sobre SQL Injection. A falha de SQL INJECTION ainda é muito explorada, devido a programadores web, principalmente PHP, não terem cuidado com a segurança de seus sistemas.

Para os leigos, SQL Injection é um tipo de ataque onde pode-se inserir ou manipular consultas criadas pela aplicação, que são enviadas diretamente para o banco de dados.

O ataque funciona com a inserção de comando SQL em locais não esperados pelo sistema, que acaba processando esses comandos como se fossem legítimos.

Por que o SQL Injection funciona?

  • Porque a aplicação aceita dados arbitrários fornecidos pelo usuário (“confia” no texto digitado);
  • Porque os mecanismos de proteção são falhos;
  • As conexões são feitas no contexto de um usuário com privilégios altos.

Proof of Concept (PoC)

/scripts/image.asp?cod= [SQL INJECTION]

Injeção de SQL

Na captura da tela abaixo, comprovam a falta de segurança que o desenvolvedor deixou de observar.

null

De várias formas e tentativas, tentei o contato com a Faculdade, porém sem resposta, seja por meio da mesma e ou algum responsável do setor de T.I

PS: O post não tem intenção de prejudicar a faculdade, mas que chegue até os responsáveis, e os corrijam os problemas para evitar maiores constrangimentos.

{
"poc_realiza_em": "2019-09-24",
"falha_reportada_em": "2019-09-25",
"resposta_empresa": false,
"falha_corrigida": false
}