Só pra falar mais sobre isso.
Tem muita gente que parou no tempo com SQL Injection e não sabe que muitas vezes o desenvolvedor prefere usar ORMs para realizar consultas, porque disseram pra ele que previne SQL Injection. Além disso, eles buscam produtividade e agilidade, já que o ORM abstrai a complexidade do banco e padroniza o código.
A questão é que não falaram pra ele que isso não previne a subversão das funcionalidades do ORM: o uso da ferramenta exatamente 'as it is' (como ela é), mas para fins maliciosos. É o ORM Injection.
O atacante não quebra o código; ele usa as funções legítimas de filtragem, busca e ordenação para extrair dados que deveriam estar protegidos, provando que a segurança não está na ferramenta, mas em como você controla o que entra nela
Tem muita gente que parou no tempo com SQL Injection e não sabe que muitas vezes o desenvolvedor prefere usar ORMs para realizar consultas, porque disseram pra ele que previne SQL Injection. Além disso, eles buscam produtividade e agilidade, já que o ORM abstrai a complexidade do banco e padroniza o código.
A questão é que não falaram pra ele que isso não previne a subversão das funcionalidades do ORM: o uso da ferramenta exatamente 'as it is' (como ela é), mas para fins maliciosos. É o ORM Injection.
O atacante não quebra o código; ele usa as funções legítimas de filtragem, busca e ordenação para extrair dados que deveriam estar protegidos, provando que a segurança não está na ferramenta, mas em como você controla o que entra nela
