Os recentes vazamentos de dados de algumas organizações ao redor do mundo têm ganhado destaque nos noticiários, o que reforça a importância da implementação de medidas de proteção, especialmente nas aplicações Web.
Largamente utilizado pelos cibercriminosos há anos, o SQL Injection é uma técnica de ataque baseada na manipulação de código SQL, onde o invasor pode inserir ou adulterar consultas criadas pela aplicação ou criar as próprias consultas, que são enviadas diretamente para o banco de dados, aproveitando-se de campos de inserção de dados como nome, e-mail etc. existentes nas aplicações Web ou pela própria URL do site.
Esta técnica é possível graças a falhas na implementação das aplicações, seja no processo de desenvolvimento com erros ou bugs no código, como na infraestrutura que permite a entrada deste tipo de ataque, expondo as aplicações.
Para prevenir ou mitigar ataques como este, recomenda-se:
• Validar dados inseridos por usuários (input validation)
• Limitar acesso com alto privilégio nas aplicações
• Coletar e monitorar eventos e incidentes de segurança nas aplicações
• Implementar soluções de proteção contra ataques em aplicações Web,
como o Web Application Firewall (WAF)
