As bases de dados primários utilizados em e-commerce hoje são o Microsoft SQL Server e Oracle. O Microsoft SQL Server é um grande exemplo de um banco de dados que cresceu muito rapidamente, com pouca atenção à segurança. Embora recente campanha "inquebrável" da Oracle virou algumas cabeças, uma série de vulnerabilidades da Oracle à tona.
precisamos discutir um par de conceitos importantes que dizem respeito a ambos os fornecedores.
Envenenamento SQL
envenenamento SQL é uma técnica que surgiu a primeira por um erro honesto e pode ser encontrado em qualquer ambiente com um banco de dados SQL back-end (Microsoft SQL Server, Oracle, Access, e assim por diante). Temos a certeza que não foi intencional, mas alguém, em algum lugar (não necessariamente um hacker), digitado incorretamente um URL ou não intencionalmente inserido um caractere extra no URL, fazendo com que o aplicativo on-line para enviar dados falsos para o banco de dados, produzindo um erro- ou pior, os dados errados.
Esta técnica é perigosa e onipresente, contribuindo enormemente para alguns dos mais elaborados hacks Web. Ele também permite que o invasor ser quase invisível para a rede baseada em produtos de detecção de intrusão
Existem dois tipos de intoxicação SQL a considerar:.
(1) Os dados de produção e
(2) a produção de erro. Porque ambas as técnicas são perigosos, eles são dignos de consideração séria no design do aplicativo.
Dados Produzindo
Com os dados que produzem ataques, o atacante se aproveita de uma fraqueza no design da aplicação Web para passar padrão strings SQL para a consulta SQL projetado, ultrapassando assim o resultado pretendido e produzir dados adicionais.
Erro Produzir
Com ataques produzindo erro, o objetivo não é necessariamente para contornar os mecanismos de controlo em vigor para obter os dados não autorizados (apesar de que é um dos sub-produtos), mas sim para exibir informações de configuração valioso.