Les injections SQL - Introduction

Pourquoi s'y intéresser ?

Selon Netcraft, il y aurait à ce jour plus de 500 millions de sites web sur la toile. La plupart de ces sites utilisent du contenu dynamique, c'est à dire qu'une partie de la page qu'on reçoit du serveur a été générée par un programme ou un script exécuté par le serveur lui même. Par exemple, environ 30% des sites utilisent PHP et 20% utilisent ASP. Bien souvent, ces scripts vont aller chercher (ou/et stocker) des informations dans une base de données (les informations de votre compte client, les articles proposés par le site marchand, les dernières "news" écrites, les messages qu'un autre membre vous a envoyés, etc.).

Pensez un instant à toutes les informations que vous confiez aux bases de données des sites que vous avez consultés ... Combien connaissent votre nom ? votre adresse ? votre numéro de téléphone ? votre numéro de carte bancaire ? et sans aller si loin, sur combien de sites avez-vous un compte (dont le login et le mot de passe sont bien évidemment stockés dans une base de données) ?

Le monde numérique d'aujourd'hui nous incite à laisser des traces un peu partout sur internet, et nombreuse sont les personnes qui ont une confiance aveugle en Internet et qui se disent que ces données très privées sont à l'abri des yeux indiscrets. La réalité est bien moins rose, à en croire cette statistique de White Hat Security (entreprise spécialisée dans la sécurité informatique) disant qu' un site sur cinq est vulnérable à l'injection SQL.

Accueil

• Bienvenue

Introduction

• Pourquoi s'y intéresser ?

Principes

• Définition
• Scenario normal
• Entrée non vérifiée
• Les risques

Exploitation

• Application "cobaye"
• Injections classiques
• Injections à l'aveuglette

Protection

• Tester l'existant
• Corriger le code
• Bonnes pratiques

Conclusion

• En résumé
• Pour aller plus loin
• Quizz