Descrever o ataque de injeção de SQL
SQL Injection é um ataque que torna possível executar instruções SQL maliciosas. Essas instruções controlam um servidor de banco de dados atrás de um aplicativo Web.
Os invasores podem usar vulnerabilidades de injeção de SQL para ignorar as medidas de segurança do aplicativo. Eles podem contornar a autenticação e autorização de uma página da Web ou aplicativo da Web e recuperar o conteúdo de todo o banco de dados SQL. Eles também podem usar a injeção de SQL para adicionar, modificar e excluir registros no banco de dados.
Uma vulnerabilidade de injeção de SQL pode afetar qualquer site ou aplicativo Web que use um banco de dados SQL, como MySQL, Oracle, SQL Server ou outros.
Os criminosos podem usá-lo para obter acesso não autorizado, excluir ou alterar seus dados confidenciais: informações de clientes, dados pessoais, segredos comerciais, propriedade intelectual e muito mais.
Os ataques de injeção de SQL estão entre as vulnerabilidades mais antigas, mais prevalentes e mais perigosas de aplicativos Web.
A organização OWASP (Open Web Application Security Project) lista injeções em seu documento OWASP Top 10 2017 como a ameaça número um à segurança de aplicativos Web.
Ainda há mais
A equipa do centro de segurança do Azure tem outros manuais que pode consultar para saber como as vulnerabilidades são exploradas para desencadear um ataque de vírus e um ataque DDoS.