Re: [oracle_br] SQL Injection
Veja este tutorial: http://www.segurancaemrede.com/2009/08/tutorial-como-invadir-com-sql-injection-mysql-sql-injection-por-method-_get-e-_post-programa-para-sqlinjection/ Em 1 de novembro de 2011 12:50, lfr_66 escreveu: > ** > > > Senhores, > Sou totalmente leigo a respeito de SQL Injection e gostaria de uma ajuda. > Ataques via SQL Injection somente podem acontecer em bancos de dados que > rodem aplicações web? Há algum parâmetro de banco (ou boas práticas) que > cuide da segurança para esse tipo de situação ou tudo que se pode fazer pra > evitar esse tipo de ataque são tratadas nas camadas de aplicação e rede? > Obrigado! > Luiz Rocha > > > -- Otavio S Wollny [As partes desta mensagem que não continham texto foram removidas] -- >Atenção! As mensagens do grupo ORACLE_BR são de acesso público e de inteira >responsabilidade de seus remetentes. Acesse: http://www.mail-archive.com/oracle_br@yahoogrupos.com.br/ -- >Apostilas » Dicas e Exemplos » Função » Mundo Oracle » Package » Procedure » >Scripts » Tutoriais - O GRUPO ORACLE_BR TEM SEU PROPRIO ESPAÇO! VISITE: >http://www.oraclebr.com.br/ Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/oracle_br/ <*> Para sair deste grupo, envie um e-mail para: oracle_br-unsubscr...@yahoogrupos.com.br <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html
Re: [oracle_br] SQL Injection
Sim, é possivel. Na verdade não devemos olhar pela ótica da interface Web X Desktop, mas sim pela camada de apresentação da aplicação, indiferente de onde venha, os dados sempre tem que ser 'sanitizados'. Att. Éverton Evaristo Em 1 de novembro de 2011 14:04, Milton Bastos Henriquis Junior < milton.bas...@meta.com.br> escreveu: > ** > > > Este é oficial da Oracle, disponível pra download: > > How to write SQL injection proof PL/SQL< > http://www.oracle.com/us/products/database/how-to-write-injection-proof-plsql-1-129572.pdf > > > > http://www.oracle.com/us/products/database/how-to-write-injection-proof-plsql-1-129572.pdf > > Há também um tutorial online a respeito: > > Tutorial > on Defending Against SQL Injection Attacks > http://st-curriculum.oracle.com/tutorial/SQLInjection/index.htm > > Especificamente sobre sua pergunta: "Ataques via SQL Injection somente > podem acontecer em bancos de dados que rodem aplicações web?" > > R: acredito que seja possível sim acontecer um ataque deste tipo em uma > aplicação Desktop. > Na "prática" o que vemos são aplicações Desktop usadas em rede locais, e > aplicativos Web tem exatamente a característica de poder ser "rodado" a > partir de qualquer browser conectado a internet. > Portanto, conceitualmente, se você tem uma aplicação Desktop na grande > maioria das vezes estará rodando em uma rede local - e nesse caso fica mais > fácil fazer um rastreamento e também uma auditoria de QUEM está executando > um código suspeito. > Ou seja: um funcionário de uma empresa iria se arriscar a atacar uma base > de dados via SQL Injection dentro de sua própria empresa? Muitos poderiam > ter essa intenção, mas fica mais fácil descobrir o culpado pelo IP da rede > interna. > Já via WEB um indiano ou um chinês pode acessar um sistema Web (óbvio, > desde que seja um sistema Web liberado, e não restrito como uma Intranet > por exemplo), e se houver brecha para um SQL injection difcilmente alguém > conseguirá rastrear e "processar" o sujeito na justiça. > > > Att, > -- > Milton Bastos > http://miltonbastos.com > > De: oracle_br@yahoogrupos.com.br [mailto:oracle_br@yahoogrupos.com.br] Em > nome de Milton Bastos Henriquis Junior > Enviada em: terça-feira, 1 de novembro de 2011 13:40 > Para: oracle_br@yahoogrupos.com.br > Assunto: RES: [oracle_br] SQL Injection > > > Eu tenho um material da Oracle específico sobre SQL Injection. > > Vou disponibilizar em algum lugar e posto aqui o link pra vocês. > > Att, > > -- > Milton Bastos > http://miltonbastos.com > > De: oracle_br@yahoogrupos.com.br<mailto:oracle_br%40yahoogrupos.com.br> > [mailto:oracle_br@yahoogrupos.com.br<mailto:oracle_br%40yahoogrupos.com.br>] > Em nome de lfr_66 > > Enviada em: terça-feira, 1 de novembro de 2011 12:51 > Para: oracle_br@yahoogrupos.com.br<mailto:oracle_br%40yahoogrupos.com.br> > > Assunto: [oracle_br] SQL Injection > > Senhores, > Sou totalmente leigo a respeito de SQL Injection e gostaria de uma ajuda. > Ataques via SQL Injection somente podem acontecer em bancos de dados que > rodem aplicações web? Há algum parâmetro de banco (ou boas práticas) que > cuide da segurança para esse tipo de situação ou tudo que se pode fazer pra > evitar esse tipo de ataque são tratadas nas camadas de aplicação e rede? > Obrigado! > Luiz Rocha > > Clique aqui<https://www.mailcontrol.com/sr/wQw0zmjPoHdJTZGyOCrrhg==>> > para reportar este e-mail como SPAM. > > This message has been scanned for malware by Websense. www.websense.com > > [As partes desta mensagem que não continham texto foram removidas] > > <https://www.mailcontrol.com/sr/wQw0zmjPoHdJTZGyOCrrhg==> > > > [As partes desta mensagem que não continham texto foram removidas] > > > [As partes desta mensagem que não continham texto foram removidas]
RES: [oracle_br] SQL Injection
Este é oficial da Oracle, disponível pra download: How to write SQL injection proof PL/SQL<http://www.oracle.com/us/products/database/how-to-write-injection-proof-plsql-1-129572.pdf> http://www.oracle.com/us/products/database/how-to-write-injection-proof-plsql-1-129572.pdf Há também um tutorial online a respeito: Tutorial on Defending Against SQL Injection Attacks http://st-curriculum.oracle.com/tutorial/SQLInjection/index.htm Especificamente sobre sua pergunta: "Ataques via SQL Injection somente podem acontecer em bancos de dados que rodem aplicações web?" R: acredito que seja possível sim acontecer um ataque deste tipo em uma aplicação Desktop. Na "prática" o que vemos são aplicações Desktop usadas em rede locais, e aplicativos Web tem exatamente a característica de poder ser "rodado" a partir de qualquer browser conectado a internet. Portanto, conceitualmente, se você tem uma aplicação Desktop na grande maioria das vezes estará rodando em uma rede local - e nesse caso fica mais fácil fazer um rastreamento e também uma auditoria de QUEM está executando um código suspeito. Ou seja: um funcionário de uma empresa iria se arriscar a atacar uma base de dados via SQL Injection dentro de sua própria empresa? Muitos poderiam ter essa intenção, mas fica mais fácil descobrir o culpado pelo IP da rede interna. Já via WEB um indiano ou um chinês pode acessar um sistema Web (óbvio, desde que seja um sistema Web liberado, e não restrito como uma Intranet por exemplo), e se houver brecha para um SQL injection difcilmente alguém conseguirá rastrear e "processar" o sujeito na justiça. Att, -- Milton Bastos http://miltonbastos.com De: oracle_br@yahoogrupos.com.br [mailto:oracle_br@yahoogrupos.com.br] Em nome de Milton Bastos Henriquis Junior Enviada em: terça-feira, 1 de novembro de 2011 13:40 Para: oracle_br@yahoogrupos.com.br Assunto: RES: [oracle_br] SQL Injection Eu tenho um material da Oracle específico sobre SQL Injection. Vou disponibilizar em algum lugar e posto aqui o link pra vocês. Att, -- Milton Bastos http://miltonbastos.com De: oracle_br@yahoogrupos.com.br<mailto:oracle_br%40yahoogrupos.com.br> [mailto:oracle_br@yahoogrupos.com.br<mailto:oracle_br%40yahoogrupos.com.br>] Em nome de lfr_66 Enviada em: terça-feira, 1 de novembro de 2011 12:51 Para: oracle_br@yahoogrupos.com.br<mailto:oracle_br%40yahoogrupos.com.br> Assunto: [oracle_br] SQL Injection Senhores, Sou totalmente leigo a respeito de SQL Injection e gostaria de uma ajuda. Ataques via SQL Injection somente podem acontecer em bancos de dados que rodem aplicações web? Há algum parâmetro de banco (ou boas práticas) que cuide da segurança para esse tipo de situação ou tudo que se pode fazer pra evitar esse tipo de ataque são tratadas nas camadas de aplicação e rede? Obrigado! Luiz Rocha Clique aqui<https://www.mailcontrol.com/sr/wQw0zmjPoHdJTZGyOCrrhg==>> para reportar este e-mail como SPAM. This message has been scanned for malware by Websense. www.websense.com [As partes desta mensagem que não continham texto foram removidas] <https://www.mailcontrol.com/sr/wQw0zmjPoHdJTZGyOCrrhg==> [As partes desta mensagem que não continham texto foram removidas]