SQL Injection

Injeção de SQL (do inglês SQL Injection) é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados através de comandos SQL, onde o atacante consegue inserir uma instrução SQL personalizada e indevida dentro de uma consulta (SQL query) através da entradas de dados de uma aplicação, como formulários ou URL de uma aplicação.

Dependendo da versão e configuração do banco de dados, também é possível inserir comandos maliciosos e conseguir permissão total (acesso root) à máquina em que o banco está em execução.

No último tópico dessa sessão, um tutorial sobre o sqlmap, que é uma ótima ferramenta para automatizar ataques de sqli em diversos tipos de bancos de dados (relacionais).