Le langage de requête structuré (SQL) est un langage conçu pour manipuler et gérer les données dans une base de données. Depuis sa création, le SQL s'est imposé dans de nombreuses bases de données. L'injection SQL est un type d'attaque de cybersécurité qui cible ces bases de données à l'aide d'instructions SQL spécifiquement conçues pour inciter les systèmes à faire des choses inattendues et non souhaitées.
Quel est le danger des injections SQL ?
Si elles sont menées à bien, les injections SQL peuvent être incroyablement préjudiciables à toute entreprise ou individu. Une fois que des données sensibles sont compromises par une attaque, il peut être difficile de les récupérer complètement. Les bases de données sont généralement visées par une injection par le biais d'une application (comme un site web, qui demande à l'utilisateur d'entrer des données, puis effectue une recherche dans une base de données en fonction de ces données) mais elles peuvent aussi être visées directement. Si vous voulez en savoir plus sur les solutions pour contrer ces attaques, vous pouvez jeter un œil du côté de Cloud Protector, une société spécialisée dans ce domaine. Visitez le site pour en découvrir davantage.
Quels sont les différents types d'attaques par injection SQL ?
Les attaques par injection SQL peuvent être menées de plusieurs manières. Les attaquants peuvent observer le comportement d'un système avant de choisir un vecteur/méthode d'attaque particulier.
Entrée non aseptisée
L'entrée non aseptisée est un type courant d'attaque SQLi dans lequel l'attaquant fournit une entrée utilisateur qui n'est pas correctement aseptisée pour les caractères qui doivent être échappés, et/ou l'entrée n'est pas validée pour être du type correct/attendu. Par exemple, un site Web utilisé pour payer des factures en ligne peut demander le numéro de compte de l'utilisateur dans un formulaire Web, puis l'envoyer à la base de données pour extraire les informations de compte associées.
Injection SQL aveugle
Également appelée injection SQL inférentielle, une attaque par injection SQL aveugle ne révèle pas directement les données de la base de données visée. L'attaquant examine plutôt de près les indices indirects du comportement. Les détails des réponses HTTP, les pages Web vides pour certaines entrées utilisateur et le temps que met la base de données à répondre à certaines entrées utilisateur sont autant d'éléments qui peuvent constituer des indices en fonction de l'objectif de l'attaquant. Ils peuvent également indiquer une autre voie d'attaque SQLi que l'attaquant peut essayer.
Injection hors bande
Cette attaque est un peu plus complexe et peut être utilisée par un attaquant lorsqu'il ne peut pas atteindre son objectif par une attaque unique et directe de type requête-réponse. En général, un attaquant élabore des instructions SQL qui, lorsqu'elles sont présentées à la base de données, déclenchent la création par le système de base de données d'une connexion à un serveur externe contrôlé par l'attaquant. De cette façon, l'attaquant peut récolter des données ou potentiellement contrôler le comportement de la base de données.
Injection de second ordre
Une injection de second ordre est un type d'attaque par injection hors bande. Dans ce cas, l'attaquant fournit une injection SQL qui sera stockée et exécutée par un comportement distinct du système de base de données. Lorsque le comportement du système secondaire se produit (il peut s'agir d'un travail basé sur le temps ou d'un événement déclenché par une autre utilisation typique de la base de données par l'administrateur ou l'utilisateur) et que l'injection SQL de l'attaquant est exécutée, c'est à ce moment-là que l'atteinte à un système contrôlé par l'attaquant se produit.
-----------------------
L'injection SQL est une méthode d'attaque populaire pour les adversaires, mais en prenant les précautions adéquates, comme s'assurer que les données sont cryptées, que vous protégez et testez vos applications web et que vous êtes à jour avec les correctifs, vous pouvez prendre des mesures significatives pour sécuriser vos données.
LES COMMENTAIRES SONT EN DOFOLLOW