Banco de Dados

SQL Injection (SQLi): Identificando o BD e extraindo dados com UNION

A maioria das técnicas demonstradas na primeira postagem sobre SQLi são efetivas contra todas as plataformas de banco de dados comuns e qualquer divergência podem ser ajustadas facilmente de acordo com a sintaxe. Entretanto, quando começamos a ver técnicas mais avançadas de exploração, as diferenças entre as plataformas começam a ser mais significante e você precisará ampliar seu conhecimento sobre o tipo de banco de dados que está sendo manipulado.

Você já viu como extrair a string de versão da maioria dos tipos de BD. Mesmo que você não consiga por algum motivo, normalmente é possível obter por outros métodos. Um dos mais viáveis é a forma que o BD concatena strings. Em uma consulta onde você controla a string de dados, você pode fornecer um valor particular em uma consulta e então testar diferentes métodos de concatenação para produzir uma string. Quando o mesmo resultado é obtido, você provavelmente identificou o tipo de BD que está sendo usado. Os próximos exemplos mostra como string pode ser construída para a maioria dos tipos de BD: (mais…)

SQL Injection (SQLi): Entendendo e identificando a vulnerabilidade em aplicações

Quase todas as aplicações web utilizam um banco de dados para armazenar os vários tipos de informações de que necessita para operar. Por exemplo, uma aplicação web implantado por um varejista on-line pode usar um banco de dados para armazenar as seguintes informações:

  • As contas de usuário, credenciais e informações pessoais;
  • As descrições e preços dos itens para venda;
  • Ordens de serviços/compras, extratos de conta e detalhes de pagamento;
  • Os privilégios de cada usuário dentro da aplicação.

Os meios de acesso à informação no banco de dados é Structured Query Language (SQL). SQL pode ser usado para ler, atualizar, adicionar e eliminar informações contidas no banco de dados.

SQL é uma linguagem interpretada, e aplicações web comumente constroem instruções SQL que incorporam dados fornecidos pelo usuário. Se isso for feito de maneira insegura, o aplicativo pode ser vulnerável a injeção de SQL. Este é uma das vulnerabilidades mais notórias para afetar aplicações web. Nos casos mais graves, a injeção de SQL pode permitir que um invasor anônimo ler e modificar todos os dados armazenados no banco de dados, e até mesmo assumir o controle total do servidor no qual o banco de dados está em execução. (mais…)

Dez regras clássicas para implementar Business Intelligence

No passado, as companhias gastavam muito dinheiro com BI, mas nem sempre conseguiam alcançar os resultados pretendidos. Prova disso, as reclamações dos usuários sobre a falta da qualidade dos dados e a dificuldade de utilização dos sistemas e ferramentas de BI, assim como relatórios incompletos ou dados imprecisos que impactam a tomada de decisões. Estas debilidades são causadas por fraquezas funcionais e organizacionais na implementação de projetos de Business Intelligence.

Particularmente com novos projetos de BI é essencial aprender com os erros de outros para que o novo projeto não falhe. A Information Builders compilou dez dicas de ouro para a implementação do BI. (mais…)

Cinco resoluções de ano novo para Business Intelligence

Mais uma vez, estamos naquela época do ano que todos fazem um balanço de suas vidas e tentam melhorá-las. Neste ano, que tal dar foco no que podemos melhorar em termos de Business Intelligence para gerar mais valor aos negócios?

Aqui estão as minhas cinco principais resoluções de ano novo para pessoas envolvidas com o BI de suas organizações: (mais…)

Oito dicas para otimizar o BI que já existe na empresa

Otimizando recursos que estão em casa é possível conseguir uma solução de Business Inteligence (BI) que caiba no orçamento. Executivos que seguiram este caminho dão oito dicas para extrair mais vantagens das ferramentas existentes.

1 – Consolide suas ferramentas
“Em geral, as pessoas têm mais ferramentas do que precisam, o que pode desviar o foco”, diz o ex-vice-presidente de soluções de tecnologia da seguradora Allstate Insurance, hoje diretor da Deloitte Consulting, Anthony Abbattista. As organizações acabam tendo “grupos diferentes de pessoas fazendo análises semelhantes com ferramentas diferentes”, o que gera uma confusão desnecessária. Abbattista recomenda que as estruturas se consolidem. “Empregue o número mínimo de ferramentas necessárias para executar o trabalho”. (mais…)

Seis tendências do BI para 2013

Ultimamente tenho gastando algum tempo antecipando 2013, refletindo acerca das novas tecnologias e tendências que podemos esperar ver no próximo ano.

O Business Intelligence (BI) percorreu um longo caminho nas últimas décadas, transformando-se de um processo de retaguarda numa tecnologia utilizada por todos os departamentos empresariais. Estas utilizações sofisticadas — como confiar em ferramentas de BI para antecipar o inventário antes da temporada de compras do Natal ou utilizar a tecnologia para analisar o sentimento do consumidor antes do lançamento de um produto significativo — são, na verdade, o futuro da nossa indústria e estou ansioso por fazer parte na implantação.

Com isto em mente, aqui apresento uma síntese das seis principais tendências que antecipo para 2013:

(mais…)

Big Data valoriza o Business Intelligence

Analista do Gartner afirma que sempre há necessidade de olhar para o passado e quando existe grande volume de dados é preciso reforçar a atividade.

Big Data está empurrando a análise do passado para as mãos dos gestores, que podem, então, usar dados não-transacionais para traçar estratégicas, decisões comerciais de longo prazo sobre, por exemplo, o que e quando colocar nas prateleiras da loja.

No entanto, Big Data não está prestes a suplantar as ferramentas tradicionais de BI, diz Rita Sallam, analista de BI do instituto de pesquisas Gartner. Segundo ela, Big Data tornará o  Business Intelligence (BI) mais valioso e útil para o negócio. “Sempre temos a necessidade de olhar para o passado… e quando você tem grande volume de dados, vai precisar fazer isso ainda mais. BI não vai embora. Ele será reforçado por Big Data.” (mais…)

Base de dados: 5 configurações-padrão perigosas

Processos que vêm direto da fábrica são conhecidos por invasores, que se aproveitam das brechas para invadir os ambientes.

Mesmo com as empresas gastando muito dinheiro em defesa de dados em várias camadas de infraestrutura de TI, muitas delas têm seus esforços sabotados pelo armazenamento da informação feito parcamente em bases de dados configuradas. Seja devido à logística de aplicações legadas, à conveniência de administradores ou a falta de conhecimento de seus administradores (DBAs), as databases configuradas com definições out-of-the-box (pré-definidas direto da fábrica) são muito comuns dentro de empresas. (mais…)

Protegendo seu Servidor de Banco de Dados

Geralmente Bancos de Dados contêm dados muito confidenciais (por exemplo: detalhes pessoais de recursos humanos, detalhes sobre clientes, ordens de compra ou detalhes sobre cartão de crédito). Esses dados devem ser armazenados com segurança e protegidos contra divulgação não autorizada, violação ou uso mal intencionado. O servidor de Banco de Dados, mesmo que não esteja diretamente conectado à Internet, precisa ser protegido contra ataques que exploram os pontos fracos da configuração, estouros de buffer existentes ou práticas de desenvolvimento ineficazes. Esses ataques podem ser executados por exemplo: (mais…)

Você realmente sabe o que é Big Data?

Por Gustavo Tamaki*

O assunto Big Data está cada vez mais em discussão como diferencial competitivo para as empresas. A consultoria IDC prevê que o mercado de Big Data será de US$16,9 bilhões em 2015, partindo de um patamar de US$3,2 bilhões em 2010. Isto significa crescimento de quase 40% ao ano. A massificação do uso de Big Data está em parte relacionada com as novas tecnologias que endereçam o que o mundo tradicional não consegue interpretar e que são chave no processo.  Mas será que as pessoas realmente sabem o que é Big Data? (mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!