Quando pensamos em soluções de segurança para banco de dados, quase sempre pensamos em soluções de missão crítica e de grande porte. Uma excelente ferramenta para isso é a Guardium ^[1].

Mas e as aplicações que dependem de um database como MySQL? Solução simples, sem custos de licença (com algumas exceções) e que suporta muito bem inúmeras soluções web.

A comunidade ficou assustada quando foi anunciada a compra da empresa que o desenvolvia pela SUN. Logo as coisas começaram a melhorar na minha opinião, o fonte foi disponibilizado via repositório, antes não era. E recentemente alguns desenvolvedores ao ver que a estratégia da SUN é desenvolver uma solução mais robusta logo fizeram um fork do projeto e criaram o Drizzle. ^[2]

Soluções para databases como o MySQL não são comuns. Uma grata surpresa pra mim foi o trabalho de Stefan Esser, ele desenvolveu um script em Lua que transforma o MySQL-Proxy em uma ferramenta de detecção de SQL Injection baseada em heurística. ^[3]

O MySQL-Proxy ^[4] é um proxy de banco de dados para ser usado com o MySQL. Funcionando como um proxy ela possibilita que seja feito não só um monitoramento mas tratamento e manipulação de requisições ao database.

A parte interessante deste proxy e que foi usado pelo Stefan Esser é a engine de scripts. A engine possibilita que você desenvolva scripts em Lua para interagir com as requisições que são feitas ao database.

O script desenvolvido por Esser está disponível aqui ^[5] e na página do MySQL Forge também é possível encontrar outros scripts e colaborar ^[6].

1 Comment To "Database Proxy como ferramenta para segurança de aplicações"

#1 Pingback By Database Proxy como ferramenta para segurança de aplicações « Nataniel. Notas sobre as TIC On 22 22America/Denver August, 2008 @ 5:48 pm