Accéder au contenu principal

Les attaques par injection de code SQL pourraient être prévenues

       Les attaques de bases de données par injection de code SQL pourraient être prévenues, selon un expert en sécurité cité par IT World Canada.Illustration du concept de sécurité et d'un écran tactile

IT World Canada rappelle que ces attaques contre des sites Internet sont encore utilisées par des pirates informatiques pour accéder à des informations personnelles, tels que ceux qui auraient recueilli 4,5 milliards d’enregistrements dans les bases de données de 420 000 sites web et FTP.
Selon Johannes Ullrich, chef de la recherche au SANS Institute, qui est un fournisseur de formations en sécurité, il n’y a pas de raisons pour que des vulnérabilités propices aux attaques par injection de code SQL existent encore aujourd’hui.

L’expert explique que des vulnérabilités propices aux attaques par injection de codes SQL malintentionnés peuvent être créés quand des programmeurs SQL utilisent la technique Dynamic SQL, dans laquelle l’instruction SQL est assemblée en chaîne qui utilise des données d’utilisateurs.

La solution reposerait ainsi sur les programmeurs SQL, qui devraient aujourd’hui pouvoir utiliser des instructions préparées pour envoyer les instructions SQL et les données d’utilisateurs séparément à la base de données, pour que les données ne puisse pas changer la requête.

Cependant, des bases de données n’auraient pas été encore compatibles avec les instructions préparées jusqu’à il y a cinq ans. Les développeurs de ces bases de données plus vieilles pourraient donc ne pas être familiers avec des instructions préparées plus longues et plus difficiles à écrire.

source : http://www.directioninformatique.com/les-attaques-par-injection-de-code-sql-pourraient-etre-prevenues/29321

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Top 10 des virus informatiques les plus dangereux en 2016

Alors que toutes nos données deviennent numériques, les hackers redoublent d’ingéniosité pour développer des virus informatiques toujours plus performants et dangereux. Si vous n’avez pas installé d’anti-virus sur votre ordinateur, ce top 10 des pires virus connus en 2016 devrait finir de vous convaincre de vous équiper… Un virus informatique est un programme autoréplicatif à la base non malveillant, mais aujourd’hui le plus souvent additionné de code malveillant par le pirates informatiques ou “hackers”. Conçu pour se propager à d’autres ordinateurs en s’insérant dans des logiciels légitimes, il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre par tout moyen d’échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, les smartphones… En 2016, les hackers ne manquent pas de créativité et continuent de développer des virus informatiques de plus en plus performants. Ces derniers leu
Enregistrer un commentaire
Lire la suite

"Le pouvoir de Google est inégalé dans l'Histoire"

Alors que Bruxelles sévit contre le moteur de recherche "ultra-dominant", le lobbyiste Jacques Lafitte souhaite qu'il change d'attitude.  Le Point.fr. La Commission s'apprête à notifier des griefs à Google. Pourquoi est-ce important ? Jacques Lafitte. Google est en position ultra-dominante sur le marché de la recherche généraliste sur Internet depuis déjà dix ans. Petit à petit, Google a dominé certaines recherches spécialisées comme les recherches géographiques. Google possède aussi YouTube, dont le pouvoir est gigantesque. Demain, il sera présent dans des domaines encore plus sensibles comme les finances personnelles et la santé. Et Google abuse de sa position dominante d'une foule de façons, parfois subtiles, parfois violentes, et au total diaboliquement efficaces. Certains érudits sont tentés de comparer Google au Big Brother de George Orwell ; moi, je constate surtout le carnage au quotidien, avec les sociétés novatrices comme 1plusV &
Enregistrer un commentaire
Lire la suite

Interception obligatoire légale sur l'ADSL

Des lois venues encadrer des pratiques alégales. Ainsi ont été « vendues » aux parlementaires les derniers textes sécuritaires. Hier,  Reflets et  Mediapart ont donné de nouvelles briques sur la situation antérieure aux lois de programmation militaire et sur le renseignement. « IOL » pour Interceptions obligatoires légales. Voilà le doux acronyme détaillé hier par nos confrères, préparé en France dès 2005, généralisé en 2009 auprès de tous les opérateurs. Le principe ? Un système de « sondes » installées chez ces fournisseurs d’accès, spécialement sur les DSLAM, censé permettre le recueil en temps réel des données d’une personne déterminée. Du massif potentiel « L’interception est fondée sur une liste contenant les identifiants des cibles. L’application détermine l’adresse IP d’une cible, dont l’un au moins des identifiants a été reconnu dans le trafic analysé par la sonde, explique l'entreprise Qosmos dans une ébauche du guide dédié à ce type de survei
Enregistrer un commentaire
Lire la suite