The wikis are now using the new authentication system.
If you did not migrate your account yet, visit https://idp-portal-info.suse.com/

ARTIGOS:Retornando a lista de usuários de uma aplicação vulnerável usando o SQL Injection.

Ir para: navegação, pesquisa

Descrição do problema

O ataque de Injeção de SQL (SQL Injection em inglês) é uma das principais vulnerabilidades das aplicações web segundo o OWASP Top 10 2017. Explorando essa vulnerabilidade, um usuário malicioso pode, por exemplo, ler dados sensíveis de uma aplicação, manipular informações e até executar operações administrativas no banco de dados.

O principal vetor deste tipo de ataque é a entrada de dados que o usuário utiliza para enviar informações para a aplicação. Nele, comandos SQL são enviados como parâmetro da aplicação ou valores de campos de formulários para confundir a aplicação e fazer com que ela execute com sucesso os comandos enviados.

A seguir, vamos preparar um ambiente LAMP usando o openSUSE para realizar os testes de injeção SQL.

Testando SQL Injection usando LAMP no openSUSE

 xxxxxxxx

Iniciando os testes

  xxxxxxxx

Referências

OWASP Top 10 2017. Disponível em: https://www.owasp.org/images/b/b0/OWASP_Top_10_2017_RC2_Final.pdf. Acesso em: 18 Dez. 2017. OWASP SQL Injection. Disponível em: https://www.owasp.org/index.php/SQL_Injection. Acesso em: 18 Dez. 2017.