Injection – O que é?

A injeção é um antigo problema do domínio de segurança para aplicações web que também acontece com frequência em APIs. Ocorre quando uma API recebe entrada de uma fonte não confiável e a usa de forma não segura, executando um comando que não é previsto no funcionamento correto, cujo objetivo é malicioso. Isso pode conduzir, por exemplo, à exposição de informações sensíveis, perda de dados e quebra de autenticação.

Os vetores de ataque típicos de ameaças maliciosas de injeção de API incluem SQL, comandos do Sistema Operacional, LDAP, NoSQL, entre outros. Usando como exemplo a injeção de SQL, um invasor envia uma solicitação contendo um trecho de sentença SQL que pode ser interpretado literalmente, estendendo a sentença que seria enviada ao banco de dados com um trecho com objetivos maliciosos.

Quer conhecer as TOP 10 ameaças para APIs da OWASP? Baixe nosso Ebook Gratuito: API Security – Guia para Iniciantes