Injection SQL

Exploit qui profite des faiblesses des logiciels de consultation de bases de données.

Les vers utilisent l'injection SQL et le cross-site scripting (XSS) pour s'infiltrer dans les sites Web dans le but de dérober des données ou intégrer du code malveillant.

L'injection SQL envoie des commandes à un serveur relié à une base de données SQL. Si le serveur n'est pas conçu et renforcé correctement, il est susceptible de traiter les données saisies dans un formulaire (par ex. un identifiant) comme une commande à exécuter sur le serveur de la base de données. Un pirate pourrait par exemple saisir une chaîne de commande destinée à vider le contenu entier d'une base de données contenant des dossiers de clients et des données bancaires.

L'une des attaques par injection SQL les plus connues s'est produite en mars 2008. Des pirates ayant réussi à s'infiltrer dans les systèmes de la société de traitement de paiements Heartland Payment Systems ont détourné 134 millions de détails de cartes de crédit.

Pour se défendre contre l'injection SQL, il est conseillé de se munir d'un pare-feu pour les applications Web (WAF). Celui-ci est doté d'un système de modèles puissant capable de détecter des commandes SQL transmises au serveur Web. La protection de tout système basé sur les modèles a besoin d'être mise à jour régulièrement pour pouvoir contrer les nouvelles façons d'intégrer des commandes SQL.

télécharger Dictionnaire des menaces : les menaces de A à Z
Téléchargez-le dès maintenant