SQL Injection: como proteger o banco de dados através da correção das vulnerabilidades de aplicações web.

Abstract

Este estudo monográfico tem como objetivo apresentar uma descrição sobre como simples ataques via SQL injection podem trazer sérios riscos aos dados das organizações, conscientizando os desenvolvedores quanto à segurança necessária que deve ser implementada nas aplicações web e no próprio SGBD (Sistema Gerenciador de Banco de Dados), evitando assim ataques através do uso deste recurso. Primeiramente definiu-se e conceituou-se quais os principais aspectos relacionados à segurança do banco de dados. Em seguida buscamos apresentar as características e conseqüências relacionadas sobre o conhecido ataque à banco de dados que é o SQL Injection, bem como a maneira pela qual é utilizado pelos usuários mau intencionados. Citamos também alguns casos de invasão através deste recurso, noticiados recentemente pela mídia. Para complementar esse trabalho acadêmico, foi desenvolvido uma aplicação web em JSP para a realização de testes de invasão. Através de uma aplicação prática feita na linguagem de programação Java, demonstraremos o uso do SQL Injection diretamente na tela de login do usuário. Assim, possibilitaremos a entrada ao sistema onde não fora cadastrado o login e a senha do usuário a testar, fazendo com que fique evidente o acesso pelo invasor aos recursos, se passando por um usuário registrado. Esse trabalho mostra também informações gerais sobre como se prevenir contra os ataques de SQL Injection, utilizando recursos disponíveis pela linguagem de programação (Java e PHP) e também pelo SGBD Microsoft SQL Server 2005, sobre o qual os testes foram realizados. Poderemos concluir ao final do estudo deste trabalho que os ataques de SQL Injection podem ser evitados através da atenção e cuidados que os desenvolvedores de aplicações web devem ter ao programar a conexão ao banco de dados, analisando todos os meios que um usuário mau intencionado possa fazer para burlar o sistema.