1 / 13

Failles de sécurité INJECTION

Hugo Lapointe Di Giacomo. Failles de sécurité INJECTION. Sommaire. 1. 3. 2. Définition. Solution. Exemples. Injection. 1. Qu’est-ce que l’injection ?. Définition. Définition.

delta
Download Presentation

Failles de sécurité INJECTION

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hugo Lapointe Di Giacomo Failles de sécuritéINJECTION

  2. Sommaire 1 3 2 Définition Solution Exemples Injection

  3. 1 Qu’est-cequel’injection? Définition

  4. Définition « Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées. »

  5. Injection SQL Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité. Types d’Injection

  6. Injection OS Une injection OS est un type d'exploitation d'une faille de sécurité d'une application, en injectant une commande relative au système non prévue et pouvant compromettre sa sécurité. Types d’Injection

  7. Injection LDAP Une injection LDAP est un type d'exploitation d'une faille de sécurité d'une application interagissant avec un service d’authentification basé sur le protocole LDAP, en injectant une requêtenon prévue par le système et pouvant compromettre sa sécurité. Types d’Injection

  8. 2 Exemples Injection

  9. Injection SQL • Afin de pénétrerdansune base de données par une faille SQL, ilfaut passer par deuxétapes: la détection de la faille (manuel) et l’exploitation de la faille (peutêtreautomatisé). • Voiciquelquesexemples : • http://www.youtube.com/watch?v=h-9rHTLHJTY (manuel) • http://www.youtube.com/watch?v=4_rV-fc-IfY (automatisé)

  10. 3 Solutions Injection

  11. EMPÊCHER CETTE ATTAQUE Prévenir une injection nécessite de séparer les données non contrôlées des requêtes ou des commandes. La meilleure option consiste à utiliser une API sécurisée qui permet de se passer de l’interpréteur ou qui fournit une interface de paramétrage des requêtes. Méfiez vous des API, comme les procédures stockées, qui sont paramétrées mais qui peuvent introduire des injections en profondeur. Si vous ne disposez pas d’une API de paramétrage des requêtes, vous devez faire extrêmement attention à échapper les caractères spéciaux en utilisant la syntaxe particulière de l’interpréteur.

  12. ? Mais, attendez…Il y a plus. Suite!

  13. Support disponible Plusieursorganismesoffres des solutions à l’injection et propose plusieursmoyensselonvosbesoins. OWASP : https://www.owasp.org

More Related