Injeção de códigos sql – Blind SQL Injection
Saiba mais sobre Injeção de códigos sql e como essa vulnerabilidade pode ser explorada de forma manual. Em 2015 palestramos em diversas cidades do Brasil, falando sobre variados temas de Segurança da Informação. Esta é uma das palestras realizada pelo consultor e sócio IBLISS Flávio Shiga.
Atualmente é muito comum identificar aplicações web vulneráveis a injeção de códigos SQL. Assim como, durante a análise de alguns incidentes de segurança identificamos que a origem do ataque foi devido a injeção de códigos SQL, permitindo obter informações confidenciais do banco de dados.
Para esse exemplo foi criada uma aplicação web em PHP com banco de dados MySQL para demonstrar como a vulnerabilidade de Blind SQL Injection é explorada de forma manual, mostrando desde o erro na programação, a injeção do código SQL (Time and Boolean Based), obtenção de informações do banco de dados e como proteger desta vulnerabilidade