Cocoondesoie.com » Pc et high tech » OR 1+1 : quelles sont les différentes attaques par injection SQL ?

OR 1+1 : quelles sont les différentes attaques par injection SQL ?

OR 1+1 correspond à ce qu’on appelle communément une “ injection SQL “. En d’autres termes, ce sont des attaques qui ont pour cible les sites Web et ce, en prenant appui sur des données relationnelles.

Des paramètres existent à la base de ces sites prenant la forme de requêtes SQL. A partir de là, si le concepteur d’un site ne veille pas au contrôle des paramètres glissés dans la requête SQL, il se pourrait qu’un pirate ou qu’un hacker puisse accéder à cette requête pour la modifier et par conséquent avoir accès à l’ensemble de la base des données.

Quelles sont les différentes attaques par injection SQL ?

Il faut souligner directement qu’une attaque par injection SQL consiste à injecter une requête SQL partielle ou complète au travers les données appartenant à un client. Si cette attaque est menée à bien par le pirate, il lui est possible de lire des données personnelles et confidentielles sur une base de données, voire les modifier et les récupérer.

Il existe trois types d’attaques par injection SQL :

  • Inband : le canal à travers lequel est injecté un code SQL est utilisé par le pirate afin d’extraire des données. Cette opération est la plus simple et élémentaire des attaques ; les données extraites s’affichent directement sur la page d’application.
  • Out of band : dans ce type d’attaque, contrairement au premier, les attaques sont récupérées au travers de l’utilisation d’un autre canal, comme l’utilisation d’un courriel qui contient les données récupérées, envoyé au testeur.
  • Blind : en l’occurrence, cette attaque est différente des deux premières par le fait qu’elle n’entraîne pas un transfert de données, mais le testeur est capable d’envoyer des requêtes bien précises pour reconstruire l’information, la modifier et en observer les résultats sur le serveur SGBD.

Comment se protéger des attaques par injection SQL ?

Pour se protéger des attaques par injection SQL, il importe d’appliquer un certain nombre de règles :

  • Toujours vérifier la nature des données saisies sur son ordinateur et guetter la présence de caractères spéciaux.
  • Eviter d’afficher les messages d’erreurs relatifs aux requêtes SQL.
  • Toujours penser à la suppression définitive des comptes utilisateurs restés à l’abandon (non utilisés) à l’image des comptes par défaut.
  • Toujours utiliser des comptes avec des mots de passe, car ils permettent une meilleure sécurité.
  • Amoindrir les avantages inhérents aux comptes utilisés.
  • Procéder à la suppression des procédures stockées, car elles présentent un danger étant donné qu’un pirate peut les utiliser pour exécuter des commandes sur le système et ainsi s’introduire à la base de données et par conséquent avoir accès aux données les plus confidentielles.

Pourquoi pas d'autres articles ?