Discussoes de Programacao e Tecnologia

SQL Injection - Caso sério!

12 respostas
G
goofed

Oi pessoal…
Antes queria pedir que não deixassem de ler a mensagem só porque tem a palavra ASP do texto abaixo:

Eu estava estudando ASP ontem e comecei a acessar meu banco de dados com o ASP…
Bem, eu estou estudando ASP loucamente porque vou fazer um “teste de código” em uma empresa na terça.
Então comecei a pensar sobre SQL Injection, e simulei alguns nos cadastro que estava fazendo aqui pra aprender…

Então pensei sobre barrar parte do SQL Injection usando Javascript, mas ai eu pensei: Mas acho que deve dar pra tirar do caminho a checagem do Javascript. Então pensei, vou ver se tem algum site em ASP por aí pra ver se realmente dá pra fazer isso.
O primeiro site que me veio na cabeça foi o site da empresa onde vou fazer o teste que já tinha visto que era em ASP quando fui mandar o currículo… Por impulso fui lá no site da empresa e tentei fazer um teste de SQL Injection direto na pagina, ele já fazia a checagem em JavaScript como eu já suspeitava. Mas o que eu queria saber era se era possível tirar o JavaScript do jogo pois assim teria que fazer a checagem no código ASP também.
Por azar meu, realmente foi possível. Mas eu acredito que havia checagem novamente no código ASP porque deu usuário e senha inválidos.
Aí que vem a preocupação: Logo abaixo tinha: “Seu IP foi gravado para auditoria”
Nossa, depois que vi isso tô com medo até agora. Eu não sei se o código que escrevi no usuário e senha daria certo pois coloquei sem pensar direito.
Bem, eu não sei se eles saberiam se eu conseguisse entrar, mas se eu conseguisse logar, eu ia fechar na hora.

Queria saber de vocês se pode acontecer algo comigo. :?
O que você faria se tivesse no meu lugar?

De uma coisa eu sei, nunca mais vô me meter a “hacker”. Só essa sensação de insegurança tira totalmente minha tranquilidade. :frowning:
Muito obrigado!

Alura Desenvolvimento Front-End React Do primeiro componente à liderança técnica! HTML/CSS/JavaScript fundamental, React com hooks e...

12 Respostas

F
flavi0

você possui IP fixo?
por um acaso é o mesmo IP que você usou para mandar o curriculo??

L
Luca

Olá

[]s
Luca

G
goofed

flavi0
Não, eu uso velox. E o IP que mandei o curriculo não é o mesmo porque havia enviado outro dia.
Mas não acho que esse seja o problema pois: Provavelmente quando alguem colocar usuario e senha inválidos, le grava numa tabela do banco o usuario e a senha que foram testados e o IP.
Como o usuario e a senha tem codigo de sql injection, o perigo mora aí…

Quando eles forem ver, vão querer saber quem tentou fazer isso, OU não.
E se eles forem atrás, acho que eles tem que pedir pra Velox fornecer os meus dados. Acho que nesse caso a Velox fornece, OU nao.
É isso que quero saber: A que eu estou sujeito por essa tentativa sem sucesso?

A proposito, o site www.ipgeo.com.br mostra aproximadamente a cidade que corresponde ao IP.

Luca
Eu estou mais com medo do que com vontade de rir. :frowning:
E esse vídeo ai foi exatamente o que eu fiz. Só que já tinha lido sobre reter SQL Injection em JavaScript e nunca tinha visto ninguém falando que era possível fazer essa “gambiarra”. Era como se eu fosse descobrir que tudo o que falavam na internet pra barrar SQL Injection tinha ainda sim uma falha.

L
Luca

Olá

Não esquenta, esquece. Continua estudando que isto não vai dar em nada.

Se eles descobrirem, fale a verdade. Conte o que contou para nós. Se eles não gostarem é porque precisam de gente burra e conformada que não parece seu caso.

[]s
Luca

G
goofed

Luca
Valeu kra. Valeu mesmo… Só em ver essas palavras já me tranquiliza mais. Tô loco pra estudar mas nao paro de pensar nisso. :frowning: Vo ficar lembrando ae das suas palavras…

Num será que ninguém aqui no fórum já fez uma besteira dessas pra me dar um consolo não?!

Só digo uma: NUNCA FAÇAM ISSO EM CASA, NO TRABALHO, NA FACULDADE!!! E LEMBRE-SE: PENSE NAS CONSEQÜÊNCIAS ANTES DE FAZER ALGO DO TIPO!!!

R
rodrigo_corinthians

Cara relax véio se concentra nos estudos, vc não cometeu nenhum crime por causa disso… :wink:

Te garanto que quase todos aqui do fórum já tentaram burlar sistemas fazendo isso dentro das empresas e ninguém(ou quase) foi punido. :smiley:

Boa sorte!

R
ramilani12

bem ético vc hein?

R
rogeriop80

bem ético vc hein?

Amigão,

Pode até não ser ético, mas a preocupação com a segurança do aplicativo também deve ser prioridade. E a ética de quem codificou o sistema ?

Lembre-se que você, eu, o amigo que comentou ai e você criticou podemos ter éticas, mas existem muitas pessoas que não tem, e o fato do sistema ser vulneravel é o que realmente é preocupante.

Att,

L
Luca

Olá

Concordo com o Rogério, a ética ou a falta dela está na intenção e não no ato em si. Fazer um testinho é muito diferente de tentar invadir com interesses escusos. Até porque quem realmente quer fazer algo errado não deixa rastros sobre seu próprio IP de uma maneira muito na cara.

[]s
Luca

R
ramilani12

bem ético vc hein?

Amigão,

Pode até não ser ético, mas a preocupação com a segurança do aplicativo também deve ser prioridade. E a ética de quem codificou o sistema ?

Lembre-se que você, eu, o amigo que comentou ai e você criticou podemos ter éticas, mas existem muitas pessoas que não tem, e o fato do sistema ser vulneravel é o que realmente é preocupante.

Att,

Rogerio vc não entendeu , o cara deu uma opiniao que “quase todos” tentaram burlar algum tipo de sistema , como ele garante isso? qual embasamento ele fala por todos?
É este meu questionamento… :stuck_out_tongue:

R
rodrigo_corinthians

ramilani12 quando disse que quase todos já tentaram eu generalizei é óbvio mas foi a forma de se expressar dizendo que não é uma coisa do outro mundo quem já fez isto e é claro que não falo por todos até porq conheço poucos do fórum pessoalmente…

E como os amigos já comentaram acima fazer um testezinho de Sql Injection numa aplicação na minha opinião acho totalmente normal até porq se tiver um problema fazeria questão de resolver ou apontar como Cr porque segurança é muito importante pra qualquer aplicação, o que vc prefere descubrir o erro e corrigir antes no desenvolvimento ou deixar subir pra produção e o cliente correr o risco de integridade dos dados??

Tá vendo como a sua opinião crítica fugiu totalmente do assunto inicial do tópico e quase gerou um flame war, dá próxima vez que quiser criticar alguém favor mande uma mensagem em pvt.

Valew!!!

G
goofed

Nossa galera, relaxa!
Primeiramente gostaria de agradecer de coração só por vcs terem lido. Mto obrigado mesmo. Principalmente ao colega que me tranquilizou com o fato de eu não ter cometido um crimo. Que alivio ouvir isso de outra pessoa… Porque falar isso pra si mesmo é mesmo que nada… hehe

Sobre isso de ter intenção, eu sei que existem mil maneiras de deixar o mínimo possível de rastros. O meu medo é que o pensamento da “pessoa do outro lado” seja: “Não podemos perder a oportunidade de pegar um hacker que deu bandeira.”

Sobre a questão de testar a segurança da própria aplicação eu acho o seguinte… Existem vagas por aí para Testers. Não sei exatamente como trabalha um tester, mas EU ACHO (não tenho certeza) de que ele tem que saber algo sobre segurança também… Afinal, um usuário comum pode digitar algo comprometedor sem intenção também.

Criado 13 de outubro de 2007
Ultima resposta 15 de out. de 2007
Respostas 12
Participantes 6

Topicos relacionados

[RESOLVIDO]dúvida com data no jsf 15 respostas Erro ao acessar pagina JSF ...javax.servlet.ServletException: javax.servlet.ServletException: n 2 respostas Mudar browser do eclipse[Resolvido] 3 respostas JSF, erro 404 mas mapeamento certo 14 respostas Problema Webservice/CertificadoDigital/HTTPS 8 respostas
Alura Sistemas operacionais: entenda seu conceito e suas funções Descubra o que são sistemas operacionais, suas funções e tipos. Aprenda tudo de forma clara e objetiva. Não perca tempo!
Casa do Codigo Aprenda JavaScript com Dashboards: Seus primeiros passos... Por Lucas Tauil — Casa do Codigo