Entenda como funciona o SQL Injection e como se proteger contra ele

Image for post
Image for post
Photo by Caspar Camille Rubin on Unsplash

Por Vinicius Moraes

SQL Injection (ou SQLi) é um tipo de Injeção de código (code injection) em que é possível manipular consultas SQL realizadas por uma aplicação em um banco de dados. Um problema que já era discutido ao menos desde 1998 e que ainda hoje afeta muitas aplicações.

Falhas de Injeção (SQL, NoSQL, OS, LDAP, etc) estão no primeiro lugar do OWASP Top Ten 2017, que atualmente é a versão mais recente de um documento que lista os maiores riscos de segurança para aplicações web.

E de fato, a partir de um SQL Injection é possível realizar uma série de ataques perigosos: como obter o controle de leitura e escrita sobre um banco de dados; e, em alguns casos, é possível conseguir uma execução de comandos remotos na máquina — do inglês Remote Command Execution (RCE), como veremos adiante. …

Image for post
Image for post
Photo by Ryoji Iwata on Unsplash

Por Thiago Falcão Lemos

Introdução

Usuários podem possuir a prática de navegar pela Internet utilizando apenas um perfil do seu navegador de preferência. …

Image for post
Image for post
Photo by Markus Spiske on Unsplash

Por Eduardo Muller

Como já trazido por Gabi e Vinícius, este é mais um resultado de pesquisa desenvolvida durante o programa de estágio da Tempest. Para quem ainda não sabe, durante esse programa, passamos por módulos e, ao final, devemos realizar um projeto de pesquisa sobre algum tema que consideramos interessante, e viável, para ser aprendido e apresentado em um mês. …

Image for post
Image for post

By Eduardo Muller

As already brought by Gabi and Vinícius, this is another result of research developed during the Tempest internship program. For those who still don’t know, during this program, we went through modules and, at the end, we should carry out a research project on some topic that we consider interesting, and viable, to be learned and presented in one month. …

Image for post
Image for post
Photo by Photos Hobby on Unsplash

By Antônio Paulino

The Internet is a hostile environment. It’s not uncommon to hear about data leaks and hackers compromising online applications and systems. In fact, any system that interacts with the internet must be prepared to defend itself from a large arsenal of techniques and attacks, used by malicious agents, in an attempt to subvert functionalities of an application. Among the many techniques employed by these agents, one of the most common, and most basic ones, is Brute Force Attack.

According to the 2020 Data Breach Investigations Report, of the 3,950 data leaks analyzed, more than 80% of them made use of stolen credentials or Brute Force Attacks. …

Image for post
Image for post
Photo by Photos Hobby on Unsplash

Por Antônio Paulino

A internet é um ambiente hostil. Não são incomuns notícias sobre vazamento de dados e hackers comprometendo aplicações e sistemas online. De fato, qualquer sistema que interage com a internet, deve estar preparado para se defender de um grande arsenal de técnicas e ataques, usados por agentes maliciosos, na tentativa de subverter funcionalidades de uma aplicação. Entre as muitas técnicas empregadas por esses agentes, uma das mais comuns, e mais básicas, é o Ataque de Força Bruta.

Segundo o 2020 Data Breach Investigations Report, dos 3.950 …

Image for post
Image for post
Photo by Startaê Team on Unsplash

Por Carlos Bezerra

O desafio de se desenvolver um software seguro, em tempo ágil, pode ser vencido com o uso adequado de processos e ferramentas de segurança, que associadas às metodologias ágeis, resultarão em práticas de desenvolvimento seguro para times ágeis. Neste artigo, mostraremos algumas dessas práticas, que mesmo baseadas em outras já existentes no mercado, serão relacionadas ao desenvolvimento ágil.

A segurança no desenvolvimento de software vem se tornando uma demanda cada vez mais evidente no mercado. Com tal propósito, diversas práticas continuam sendo criadas. Para citar apenas algumas, temos, por exemplo, o conjunto de práticas da Microsoft (MSDL), os Seven Touchpoints for Software Security e as normas do Common Criteria. …

Image for post
Image for post
Photo by Startaê Team on Unsplash

By Carlos Bezerra

The challenge of developing a secure software, in agile time, can be overcome with the proper use of security processes and tools, which, associated with agile methodologies, will result in secure development practices for agile teams. In this article, we will show some of these practices, which are based on others already existing in the market but directly related to agile development.

Security in software development is becoming an increasingly evident demand in the market. For this purpose, several practices are still being created. To name just a few, we have, for example, Microsoft’s set of practices (MSDL), the Seven Touchpoints for Software Security and the Common Criteria standards. Another process of secure development, and also with great success in the market, is the OWASP SAMM , a more mature model for the development of secure software, which today is in version 2.0., …

Image for post
Image for post

“Since 2010, USB Rubber Ducky is the favorite among hackers, criminals and IT professionals”. This is how the company presents its product, for sale online for almost $50. The product’s promises are also tempting: “imagine plugging a seemingly innocent USB drive into a computer and installing backdoors, exfiltrating documents, or capturting credentials”. Installing a backdoor on the victim’s computer without attracting attention and, from there, stealing data, in a simple way, is the malicious proposal of the product. However, especially nowadays, with the dollar at the heights, the price of Rubber Ducky may not be as attractive as its facilities.

In August 2016, a post on ESPUSB on the electronics-lab site drew attention to a much cheaper, and equally dangerous, alternative. …

About

Tempest Security

Empresa líder no mercado brasileiro de segurança da informação e combate a fraudes digitais, atuando desde o ano 2000.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store