Injection Attaque par injection Injection de code SQL

Diapositive 2

Cette diapositive parle de l'injection SQL. L'injection SQL, ou SQLi, est une méthode d'attaque cyber courante qui utilise du code SQL malveillant pour manipuler les bases de données backend afin d'accéder à des données privées qui ne sont pas destinées à être montrées publiquement.

Diapositive 3

Cette diapositive énumère les types d'injections SQL. Il s'agit notamment de : SQLi In-Band, SQLi Inferential ou Blind, et SQLi Out-of-Band.

Diapositive 4

Cette diapositive traite de la SQLi In-Band. Le pirate utilise le même canal de communication pour lancer les attaques et recueillir les résultats.

Diapositive 5

Cette diapositive met en évidence les types d'injections SQL In-Band. Il s'agit de : SQLi Error-Based et SQLi Union-Based.

Diapositive 6

Cette diapositive parle de la SQLi Inferential ou Blind. Pour mieux comprendre l'architecture du serveur, le pirate envoie des charges utiles de données au serveur et surveille sa réponse et son comportement.

Diapositive 7

Cette diapositive met en évidence les types d'injections SQL Inferential ou Blind. Les injections SQL Blind sont soit booléennes, soit basées sur le temps.

Diapositive 8

Cette diapositive traite de la SQLi Out-of-Band. La SQLi Out-of-Band est exécutée lorsque l'attaquant ne peut pas utiliser le même canal de transmission pour lancer l'attaque et collecter les données, ou lorsqu'un serveur est instable ou trop lent pour que ces actions puissent être menées.

Diapositive 9

Cette diapositive met en évidence les moyens d'atténuer les attaques par injection SQL. Il s'agit des : mappeurs objet-relationnel, pare-feux d'applications web, échappement, instructions paramétrées, autorisations de base de données et vérification de motif.

Diapositive 10

Cette diapositive explique comment les mappeurs objet-relationnel (ORM) peuvent être utilisés pour atténuer le risque d'attaques par injection SQL. Les développeurs peuvent utiliser des frameworks ORM pour créer des requêtes de base de données de manière sécurisée et conviviale.

Diapositive 11

Cette diapositive explique comment les pare-feux d'applications web (WAF) sont utilisés pour atténuer le risque d'attaques par injection SQL. Les technologies WAF peuvent rendre la découverte et l'exploitation beaucoup plus difficiles pour un attaquant.

Diapositive 12

Cette diapositive explique comment l'échappement atténue le risque d'attaques par injection SQL. Un moyen de prévenir les injections SQL consiste à tenter d'échapper tous les caractères ayant une signification particulière en SQL.

Diapositive 13

Cette diapositive explique comment les instructions paramétrées atténuent le risque d'attaques par injection SQL. Au lieu d'intégrer les entrées utilisateur dans l'instruction, la plupart des plateformes de développement permettent l'utilisation d'instructions paramétrées qui fonctionnent avec des restrictions.

Diapositive 14

Cette diapositive explique comment les autorisations de base de données peuvent être utilisées pour atténuer le risque d'attaques par injection SQL. Limiter les autorisations ou les droits sur la connexion à la base de données peut aider à réduire l'efficacité de toute attaque par injection SQL.

Diapositive 15

Cette diapositive explique comment la vérification de motif peut être utilisée pour atténuer le risque d'attaques par injection SQL. Les paramètres de chaîne, entiers, flottants ou booléens peuvent être vérifiés pour s'assurer que leur valeur est une représentation valide pour le type spécifié.