Sécurité Web (introduction)

Publié par : Web 3.0

Document sous licence CC: http://creativecommons.org/licenses/by-sa/2.0/fr/. Sécurité Web (introduction).


Consulter un extrait ci-dessous

Ce réglage remplace toutes les " quote " par " antislash quote " dans tout ce qu'envoie l'utilisateur (GET, POST, COOKIES).


Impossibilité de contourner les processus d'authentification par SQL injection !


Si contourner l'authentification ne vous suffit pas (parce que ce qui vous intéresse est de dumper la table) ?


Il est également possible d'utiliser des chaines sans " quote " en les écrivant en hexadécimal (0x414243 = 'ABC').


Si dans la table " commentaire ", il n'y a pas d'entrée avec comme id " 3141 ", la commande renverra le premier " login " de la table " utilisateurs ".


Il faut à gauche et à droite de l'UNION avoir le même nombre de champs (1 champ dans notre exemple).


Assez simple à gérer, il suffit d'utiliser la commande "order by" pour déterminer, par tâtonnement, le nombre d'éléments dans la requête:


Puis lorsque l'on a trouvé le nombre maximum ne générant pas d'erreurs:


Par tâtonnement en s'appuyant, le cas échéant, sur les messages d'erreur.


Certaines bases (telles que PostgreSQL mais pas MySQL) attendent le même type de données à gauche et à droite du UNION.

Que faire si l'on arrive à injecter du code, mais que le serveur d'application n'affiche pas le résultat ?


C'est le cas, notamment, dans les processus d'authentification.


On est juste capable de savoir si la commande renvoie vrai ou faux.


Dans la pratique, c'est quelque chose qui arrive relativement souvent (et pas seulement dans les requêtes liées à une identification).



Publier sur Facebook Publier sur Twitter
Informations
Date :

09/10/2010


Langue :

Français


Pages :

60


Consultations :

6362


Note :
Téléchargement Gratuit
  • Votre email n'est pas valide

    Vous devez valider les conditions d'utilisation

-->
Résumé

Auteur : Cédric Foll


Tags : Sécurité, web, vulnérabilités, attaques, faille web, serveur, injection flaw, SQL, union query
Sur le même thème
Vues : 7729

I] Qu'est ce que la sécurité d'un système? II] Pourquoi sécuriser les systèmes informatiques III] Comment et avec quoi les...

Vues : 2040

Guide de sensibilisation à la sécurité informatique

Vues : 1445

Authentification sur réseau sans-fil. Utilisation d'un serveur radius.

Vues : 1432

La cryptographie, un outil au service de la sécurité des systèmes d'information.

Vues : 1379

notre thèse est une application d'une formule mathématique réalisent par M.Savola et H.abie qui permet de mesurer...

Vues : 1289

Les dangers sur Internet en chiffres

Du même contributeur
Vues : 22584

Les étapes et les acteurs clés de la création du géant Facebook. Des informations chiffrées, des anecdotes et des...

Vues : 7655

Document sous licence CC: http://creativecommons.org/licenses/by-nc-nd/3.0/us/. Twitter for beginners.

Vues : 2872

Document sous licence CC: http://creativecommons.org/licenses/by-nc-sa/2.0/fr/. 7 stratégies e-marketing illustrées - Votre...

Vues : 1438

Document sous licence CC: http://creativecommons.org/licenses/by-nc-sa/2.0/be/. Une Fan page sur Facebook : mode d’emploi.

Vues : 1154

Document sous licence CC: http://creativecommons.org/licenses/by-nc-sa/2.0/fr/. L'opendata - Tout savoir (ou presque).

Vues : 1149

Document sous licence CC: http://creativecommons.org/licenses/by-nc-nd/2.0/fr/. Principes du référencement SEO (version 2010)

Commentaires
Aucun commentaire pour cette publication
Ajouter un commentaire
Envoyer
Pour envoyer la page de votre document, notez ici les emails destinataires de votre demande :
Séparez les emails par des virgules
Signaler un abus
Vous devez vous connecter ou vous inscrire pour noter un document.
Cliquez ici pour vous inscrire.
Vous devez vous connecter ou vous inscrire pour ajouter un commentaire.
Cliquez ici pour vous inscrire.
Vous devez vous connecter ou vous inscrire pour envoyer le document.
Cliquez ici pour vous inscrire.
Vous ne pouvez pas acheter de documents sur Needocs.
Vous pouvez vous référer aux conditions générales de vente et d'achat du portail pour connaître les modalités d'achat.