Télécharger la présentation
1
Failles de sécurité INJECTION
Hugo Lapointe Di Giacomo Failles de sécurité INJECTION This presentation demonstrates the new capabilities of PowerPoint and it is best viewed in Slide Show. These slides are designed to give you great ideas for the presentations you’ll create in PowerPoint 2010! For more sample templates, click the File tab, and then on the New tab, click Sample Templates.
2
Sommaire 1 Définition 2 Exemples 3 Solution Injection
3
Qu’est-ce que l’injection?
1 Qu’est-ce que l’injection? Définition
4
Définition « Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des données non autorisées. »
5
Types d’Injection Injection SQL
Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité. Types d’Injection
6
Types d’Injection Injection OS
Une injection OS est un type d'exploitation d'une faille de sécurité d'une application, en injectant une commande relative au système non prévue et pouvant compromettre sa sécurité. Types d’Injection
7
Types d’Injection Injection LDAP
Une injection LDAP est un type d'exploitation d'une faille de sécurité d'une application interagissant avec un service d’authentification basé sur le protocole LDAP, en injectant une requête non prévue par le système et pouvant compromettre sa sécurité. Types d’Injection
8
2 Exemples Injection
9
Voici quelques exemples :
Injection SQL Afin de pénétrer dans une base de données par une faille SQL, il faut passer par deux étapes : la détection de la faille (manuel) et l’exploitation de la faille (peut être automatisé). Voici quelques exemples : (manuel) (automatisé)
10
3 Solutions Injection
11
EMPÊCHER CETTE ATTAQUE
Prévenir une injection nécessite de séparer les données non contrôlées des requêtes ou des commandes. La meilleure option consiste à utiliser une API sécurisée qui permet de se passer de l’interpréteur ou qui fournit une interface de paramétrage des requêtes. Méfiez vous des API, comme les procédures stockées, qui sont paramétrées mais qui peuvent introduire des injections en profondeur. Si vous ne disposez pas d’une API de paramétrage des requêtes, vous devez faire extrêmement attention à échapper les caractères spéciaux en utilisant la syntaxe particulière de l’interpréteur.
12
Mais, attendez… Il y a plus.
? Mais, attendez… Il y a plus. Suite!
13
OWASP : https://www.owasp.org
Support disponible Plusieurs organismes offres des solutions à l’injection et propose plusieurs moyens selon vos besoins. OWASP :
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.