Um sistema de consulta a registros de rede, disponível em uma intranet corporativa, recebe parâmetros de entrada a partir de requisições HTTP e utiliza-os na composição de comandos de consulta ao seu repositório de dados. Durante um teste de vulnerabilidades relacionadas a ataques contra aplicações, a seguinte entrada foi fornecida por um programa testador no parâmetro de consulta de endereço IP da aplicação: 10.0.0.1'; DELETE FROM registros; -- Após o envio da requisição, um comportamento indesejado ocorreu e verificou-se que o artifício poderia ser objetivamente usado em um ataque real. Em relação à situação hipotética apresentada, assinale a opção correta.

  1. A)O ataque foi viabilizado por uma falha do sistema operacional relacionada ao controle de permissões de arquivos temporários, o que permitiu a execução arbitrária de comandos de manipulação de dados pelo usuário remoto.
  2. B)A vulnerabilidade decorre do uso de interpolação textual sem mecanismos de separação lógica entre dados e comandos, o que permite a injeção de código no interpretador de consultas.GABARITO
  3. C)O ataque caracteriza uma parametrização adicional indevida, viabilizada pela ausência de isolamento entre a camada de rede e o sistema operacional.
  4. D)O uso do método HTTP para envio de dados é incorreto, o que impede o tratamento seguro de entradas potencialmente maliciosas.
  5. E)A entrada fornecida manipula a lógica booleana da cláusula de filtragem, o que resulta em uma condição sempre falsa e instrui incorretamente o sistema sobre como manusear os dados.

Explicação

**Explicação da Questão** **(1) Por que a alternativa B está correta** A alternativa B descreve com precisão o mecanismo do ataque de injeção de SQL (SQL Injection). No cenário apresentado, a aplicação recebe a entrada `10.0.0.1'; DELETE FROM registros; --` e ... Ver explicação completa e trilha adaptativa →

Fazer o diagnóstico grátis de Auditor Fiscal