[artigo] sqli em aplicação desktop

uma das falhas mais explorada em aplicação web é a sql injection devido o uso de banco de dados para armazenamento, porem a sqli nao se limita so aplicação web pode acontecer de ter uma falha sqli em qualquer tipo de aplicação inclusive em aplicação desktop que usa banco de dados (ou ate em aplicação movel, como eu nao mexo com dev movel nao posso afirmar XD), a falha sqli permite deformar a query original e refazer uma nova assim permitido o invasor fazer oque quiser com banco de dados, como eu nao sei nenhuma aplicação desktop vun a isso fiz uma basica aqui para a gente brincar



a minha aplicação é bem simples basta apertar em Conectar ele criar as tabelas do db mysql, no caso ela cria as colunas id e nome (no caso os nomes do adm do eof)



na aplicação podemos ver que existe uma edit onde escrevemos o nome e quando apertamos em pesquisar ele procura no db



so que se a gente nao colocar o nome e sim fechar as aspas e usar logicar or seguido de um id (" or id=3 or "), veja uma coisa que deveria ser exclusivo para pesquisar pelo nome eu to pesquisando pelo id '-'



e se eu colocar id maior que 0 vai aparecer todos os nomes do db (" or id>0 or "), isso nao seria uma ação normal do programa kkkk



bom galera esse artigo nao é para ensinar sqli e sim mostrar que é possivel achar falhas de sqli em aplicação desktop ^^

by kõdo no kami