La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Hugo Lapointe Di Giacomo Failles de sécurité INJECTION.

Présentations similaires


Présentation au sujet: "Hugo Lapointe Di Giacomo Failles de sécurité INJECTION."— Transcription de la présentation:

1 Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

2 Sommaire Injection 1Définition 2Exemples 3Solution

3 Quest-ce que linjection? Définition 1

4 « Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées. »

5 Types dInjection Injection SQL Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.

6 Types dInjection Injection OS Une injection OS est un type d'exploitation d'une faille de sécurité d'une application, en injectant une commande relative au système non prévue et pouvant compromettre sa sécurité.

7 Types dInjection Injection LDAP Une injection LDAP est un type d'exploitation d'une faille de sécurité d'une application interagissant avec un service dauthentification basé sur le protocole LDAP, en injectant une requête non prévue par le système et pouvant compromettre sa sécurité.

8 2 Exemples Injection

9 Injection SQL Afin de pénétrer dans une base de données par une faille SQL, il faut passer par deux étapes : la détection de la faille (manuel) et lexploitation de la faille (peut être automatisé). Voici quelques exemples : – (manuel) – (automatisé)

10 3 Solutions Injection

11 EMPÊCHER CETTE ATTAQUE Prévenir une injection nécessite de séparer les données non contrôlées des requêtes ou des commandes. La meilleure option consiste à utiliser une API sécurisée qui permet de se passer de linterpréteur ou qui fournit une interface de paramétrage des requêtes. Méfiez vous des API, comme les procédures stockées, qui sont paramétrées mais qui peuvent introduire des injections en profondeur. Si vous ne disposez pas dune API de paramétrage des requêtes, vous devez faire extrêmement attention à échapper les caractères spéciaux en utilisant la syntaxe particulière de linterpréteur.

12 ? Mais, attendez… Il y a plus. Suite!

13 Support disponible Plusieurs organismes offres des solutions à linjection et propose plusieurs moyens selon vos besoins. OWASP : https://www.owasp.org


Télécharger ppt "Hugo Lapointe Di Giacomo Failles de sécurité INJECTION."

Présentations similaires


Annonces Google