Pequeno trecho da minha monografia que estarei defendendo em fevereiro 2013.
11. ERROS COMUNS EM BANCO DE DADOS
É muito importante saber identificar e estar familiarizado com os vários tipos de erros emitidos pelo banco de dados quando se realiza testes de SQL injection. Como visto antes, temos um cenário de três camadas, onde o servidor WEB fica no meio entre o usuário (browser) e o banco de dados. Dependendo de como foi desenvolvido a aplicação web, os erros emitidos pelo banco de dados podem ser manipulados pela aplicação da seguinte forma:
- O erro em SQL é mostrado na tela do browser para o usuário
- O erro em SQL é escondido na própria página web por motivos de depuração
- O usuário é redirecionado para outra página
- Os erros em HTTP podem ser obtidos: 500 e 302
- O aplicativo lida com o erro corretamente e simplesmente não mostra resultados, talvez exibição de uma página de erro genérica.
Para identificar possíveis brechas de SQL injection é preciso identificar os erros retornados pela aplicação web.
Nenhum comentário:
Postar um comentário