• Framework contra Injeção SQL

    Publicado em 19-06-2010 10:17
    0 Comentários Comentários
    Uma nova empresa, a Recursion Ventures, foi recentemente formada por Dan Kaminsky, Michael Tiffany and Henry Bar-Levav, para dar uma nova abordagem para a segurança do computador. Para isso, a companhia lançou o seu framework Interpolique [2], que visa ajudar os desenvolvedores a criarem suas aplicações Web de forma imune a injeção de código SQL, além de evitar a ação de ataques por Cross-Site Scripting (XSS). A idéia básica desse framework está na transformação da entrada de dados pelo usuário em Base64, de modo que, mesmo que seja construída de forma incorreta no futuro com código adicional, seja incapaz de causar danos.


    O problema da injeção SQL é que frequentemente a seqüência de consulta é composta por uma combinação de seqüências definidas, além de variáveis. Se um atacante consegue passar uma instrução ';DROP TABLE CUSTOMER-- como uma variável, o resultado poderá ser um dano gerado nas informações armazenadas no banco de dados. Ao codificar os dados, quem é passada na verdade é a string JztEUk9QIFRBQkxFIEtVTkRFLS0= que mesmo digitada errada (talvez com um espaço) não causará dano ao banco de dados.


    Saiba Mais:

    [1] Heise Online: http://www.h-online.com/security/new...k-1023380.html
    [2] Framework Interpolique: http://recursion.com/index.html
    + Enviar Comentário