Sécurité Web (introduction) |
|
Publié par :
Web 3.0
|
Document sous licence CC: http://creativecommons.org/licenses/by-sa/2.0/fr/. Sécurité Web (introduction).
Ce réglage remplace toutes les " quote " par " antislash quote " dans tout ce qu'envoie l'utilisateur (GET, POST, COOKIES).
Impossibilité de contourner les processus d'authentification par SQL injection !
Si contourner l'authentification ne vous suffit pas (parce que ce qui vous intéresse est de dumper la table) ?
Il est également possible d'utiliser des chaines sans " quote " en les écrivant en hexadécimal (0x414243 = 'ABC').
Si dans la table " commentaire ", il n'y a pas d'entrée avec comme id " 3141 ", la commande renverra le premier " login " de la table " utilisateurs ".
Il faut à gauche et à droite de l'UNION avoir le même nombre de champs (1 champ dans notre exemple).
Assez simple à gérer, il suffit d'utiliser la commande "order by" pour déterminer, par tâtonnement, le nombre d'éléments dans la requête:
Puis lorsque l'on a trouvé le nombre maximum ne générant pas d'erreurs:
Par tâtonnement en s'appuyant, le cas échéant, sur les messages d'erreur.
Certaines bases (telles que PostgreSQL mais pas MySQL) attendent le même type de données à gauche et à droite du UNION.
Que faire si l'on arrive à injecter du code, mais que le serveur d'application n'affiche pas le résultat ?
C'est le cas, notamment, dans les processus d'authentification.
On est juste capable de savoir si la commande renvoie vrai ou faux.
Dans la pratique, c'est quelque chose qui arrive relativement souvent (et pas seulement dans les requêtes liées à une identification).
I] Qu'est ce que la sécurité d'un système? II] Pourquoi sécuriser les systèmes informatiques III] Comment et avec quoi les...
Guide de sensibilisation à la sécurité informatique
Authentification sur réseau sans-fil. Utilisation d'un serveur radius.
La cryptographie, un outil au service de la sécurité des systèmes d'information.
notre thèse est une application d'une formule mathématique réalisent par M.Savola et H.abie qui permet de mesurer...
Les étapes et les acteurs clés de la création du géant Facebook. Des informations chiffrées, des anecdotes et des...
Document sous licence CC: http://creativecommons.org/licenses/by-nc-nd/3.0/us/. Twitter for beginners.
Document sous licence CC: http://creativecommons.org/licenses/by-nc-sa/2.0/fr/. 7 stratégies e-marketing illustrées - Votre...
Document sous licence CC: http://creativecommons.org/licenses/by-nc-sa/2.0/be/. Une Fan page sur Facebook : mode d’emploi.
Document sous licence CC: http://creativecommons.org/licenses/by-nc-sa/2.0/fr/. L'opendata - Tout savoir (ou presque).
Document sous licence CC: http://creativecommons.org/licenses/by-nc-nd/2.0/fr/. Principes du référencement SEO (version 2010)
Aucun commentaire pour cette publication |