Failles de sécurité INJECTION

Slides:



Advertisements
Présentations similaires
Module 5 : Implémentation de l'impression
Advertisements

Le stockage DAS,NAS,SAN.
Botnet, défense en profondeur
Une solution personnalisable et extensible
Thunderbird Installation Cliquer ici. 2. Cliquer cette option 1. Choisir cette option Thunderbird Installation.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation.
Page 1 JIQH 2008, Paris, 8 décembre 2008 La sécurisation de la prescription médicale Table ronde : « NTIC et Sécurité du Patient » Patrick APFEL Directeur.
DIAS PEREIRA Maxime & AIMEUR Amar vous présentent
NFE 107 : Urbanisation et architecture des systèmes d'information
Séminaire des référents SI Page 1 Outils existants Annuaire applicatif des ARS Difficultés rencontrées pour le peuplement automatique de lannuaire applicatif.
La fonction Style Permet de créer des types de texte, par exemple
Découvrez… 30/03/2017 © Agarik.
L’injection.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Référence directe non sécurisée à un objet
Sécurité Informatique
Module de formation Introduction
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Les Redirections et renvois non validés
Etude des Technologies du Web services
Liste des actions nécessitant une identification sur la plateforme Lutilisation.
Développement dapplications web Initiation à la sécurité 1.
© LEONI Bordnetz-Systeme GmbH & Co. KG AHMED Moncef AHMED Moncef.
Module 1 : Préparation de l'administration d'un serveur
Scanning.
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Les instructions PHP pour l'accès à une base de données MySql
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
Les 10 choses que vous devez savoir sur Windows Authentique Notice légale Les informations de ce document contiennent les explications de Microsoft Corporation.
Gestion des bases de données
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
SQL Injection Réalisée par: BEN NASR Houssem GMATI Idriss HADDAD Mohamed Aymen HAKIM Youssef.
Développement d’applications web
GPA435, GPA – ÉTS, T. Wong Génie de la production automatisée GPA435 Système dexploitation et programmation de système Chapitre 6 Partie II 2014.
Les Expériences Scientifiques 1. Identifiez le problème. Quest-ce que vous savez? Quest-ce que vous voulez savoir? 2. Planifiez une stratégie. Cherchez.
Module 8 : Maintenance des logiciels à l'aide des services SUS
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Javascript JavaScript / Jquery Langage de script (comme PHP) Exécuté par votre navigateur (Firefox, IE,
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Document élaboré à Centrale Paris par Pascal Morenton LES TECHNOLOGIES DU WEB 1. LES PHASES D UN DEPLOIEMENT DE RESEAUX 2. LE LANGAGE HTML 3. LE LANGAGE.
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
S ÉCURITÉ I NFORMATIQUE Asp.net. P LAN Sécurité sur Internet Sécurité avec ASP.net Gestion des comptes et droits d’accès Utilisation des contrôles de.
Module 5 : Configuration et gestion des systèmes de fichiers
L'application Social Buddies Powered by V2.5 ( )
Module de formation Introduction
Les dangers d'Internet (virus et autres)
AFRI-CONCEPT Intégrateur de Solutions IT innovantes Manuel d’utilisation Mobile Security Suite Document réservé au service IT MTN Présenté par Gildas MABIALA.
Mise en oeuvre et exploitation
CENTRALISATION DES CANDIDATS LOCATAIRES
JavaScript Nécessaire Web.
Module 8 : Surveillance des performances de SQL Server
Cours n°4M2. ESCE (S. Sidhom) Séminaire ( 6-12 Février 2007 ) Promo. M2 ESCE-Tunis 2006/07 Conception d’un système d'information sur Internet Architecture.
Expose sur « logiciel teamviewer »
Séminaire INGI 2591 Attaques Web Accardo Nicolas Blerot Olivier Couvreur Pascal Depry Fabian.
Enterprise Java Beans 3.0 Cours INF Bases de Données Hiver 2005, groupe 10 Stefan MARTINESCU.
Module 9 : Transfert de données. Vue d'ensemble Présentation du transfert de données Outils d'importation et d'exportation de données disponibles dans.
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Institut Supérieur d’Informatique
1 Étape 2 : Le panneau de navigation gauche s'affiche. Sélectionnez Commandes en cours. Étape 1 : À partir de la page d'accueil des OEE, sélectionnez un.
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
1 REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE MINISTERE DE L’ENSEIGNEMENT SUPERIEURE ET DE LA RECHERCHE SCIENTIFIQUE UNIVERSITE ABDELHAMID IBN BADIS.
Développement d’application Web.  Internet  WWW  Client/Serveur  HTTP.
WELCOME. COPYRIGHT © 2012 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED. Solutions de communications pour PMEs OmniTouch™ 8600 My IC Mobile pour IPhone.
Publication Bulletin de sécurité hors cycle MS Révision Bulletin de sécurité MS
Un moteur de recherche presque comme les autres… e.com/
Google Keep. Pourquoi Google Keep ?  Google Keep est une application de téléphone intelligent et une extension de Google Chrome, qui permet de prendre.
Chapitre 5 Configuration et gestion des systèmes de fichiers Module S41.
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Par Michael Tran Injection. Présentation du problème C’est faire en sorte que l’entrée utilisateur de l’attaquant est considérée de façon spéciale Permet.
Transcription de la présentation:

Failles de sécurité INJECTION Hugo Lapointe Di Giacomo Failles de sécurité INJECTION This presentation demonstrates the new capabilities of PowerPoint and it is best viewed in Slide Show. These slides are designed to give you great ideas for the presentations you’ll create in PowerPoint 2010! For more sample templates, click the File tab, and then on the New tab, click Sample Templates.

Sommaire 1 Définition 2 Exemples 3 Solution Injection

Qu’est-ce que l’injection? 1 Qu’est-ce que l’injection? Définition

Définition « Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées. »

Types d’Injection Injection SQL Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité. Types d’Injection

Types d’Injection Injection OS Une injection OS est un type d'exploitation d'une faille de sécurité d'une application, en injectant une commande relative au système non prévue et pouvant compromettre sa sécurité. Types d’Injection

Types d’Injection Injection LDAP Une injection LDAP est un type d'exploitation d'une faille de sécurité d'une application interagissant avec un service d’authentification basé sur le protocole LDAP, en injectant une requête non prévue par le système et pouvant compromettre sa sécurité. Types d’Injection

2 Exemples Injection

Voici quelques exemples : Injection SQL Afin de pénétrer dans une base de données par une faille SQL, il faut passer par deux étapes : la détection de la faille (manuel) et l’exploitation de la faille (peut être automatisé). Voici quelques exemples : http://www.youtube.com/watch?v=h-9rHTLHJTY (manuel) http://www.youtube.com/watch?v=4_rV-fc-IfY (automatisé)

3 Solutions Injection

EMPÊCHER CETTE ATTAQUE Prévenir une injection nécessite de séparer les données non contrôlées des requêtes ou des commandes. La meilleure option consiste à utiliser une API sécurisée qui permet de se passer de l’interpréteur ou qui fournit une interface de paramétrage des requêtes. Méfiez vous des API, comme les procédures stockées, qui sont paramétrées mais qui peuvent introduire des injections en profondeur. Si vous ne disposez pas d’une API de paramétrage des requêtes, vous devez faire extrêmement attention à échapper les caractères spéciaux en utilisant la syntaxe particulière de l’interpréteur.

Mais, attendez… Il y a plus. ? Mais, attendez… Il y a plus. Suite!

OWASP : https://www.owasp.org Support disponible Plusieurs organismes offres des solutions à l’injection et propose plusieurs moyens selon vos besoins. OWASP : https://www.owasp.org

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.