Pour comprendre l’injection SQL et son impact sur le réseau ou système, commençons par les concepts de base de l’injection SQL. L’injection SQL est un type de méthode d’injection de code qui exploite les vulnérabilités de sécurité qui se produisent dans la couche de base de données d’une application. Les vulnérabilités surviennent principalement en raison de l’entrée filtrée à tort pour pour chaîne littérale des caractères d’échappement intégrées dans les instructions SQL à partir d’utilisateurs ou les saisies utilisateur qui n’est pas fortement typée et puis soudainement exécutés sans corriger les erreurs.
Injection SQL
L’injection SQL est un type d’application web vulnérabilité où un attaquant peut manipuler et soumettre une commande SQL pour récupérer les informations de la base de données. Ce type d’attaque se produit surtout lorsqu’une application Web exécute des requetes SQL sans valider ou encoder les données saisies par l’utilisateur (récupération des données d’un formualire par exemple). Il peut donner accès à des informations sensibles telles que les numéros de sécurité sociale, vos numéros de carte de crédit ou d’autres données financières à l’attaquant de créer, lire, mettre à jour, modifier ou supprimer des données stockées dans la base de données dorsale. C’est une faille dans les applications web et non une base de données ou un problème lié au serveur web. La plupart des programmeurs ne sont pas encore conscients de cette menace.
Menaces de l’injection SQL
Voici les principales menaces d’injection SQL :
- Spoofing identité: Usurpation d’identité est une méthode suivie par des attaquants. Ici, les gens sont trompés en leur faisant croire qu’un e-mail ou site Web particulier est à l’origine de la source qui est en fait pas vrai.
- Modification de prix: un plus de problème lié à l’injection SQL est qu’elle peut être utilisée pour modifier les données. Ici les attaquants entrent dans un portail de commerce en ligne et modifient les prix des produits, et ensuite achetent les produits à des tarifs avantageux.
- Escalade de privilèges : Une fois que le système est piratée, l’attaquant cherche les privilèges élevés utilisés par les membres de l’administration et gagne un accès complet au système, ainsi que le réseau.
- Divulgation complète de toutes les données : Une fois que le réseau est piraté les données hautement confidentielles telles que les numéros des cartes de crédit, les informations sur les employés, les dossiers financiers, etc. sont divulgués.
- Destruction des données : l’attaquant, après avoir obtenu un contrôle complet sur le système, il détruit complètement les données, résultant en des pertes énormes pour la société.
- Modifier les enregistrements : les pirates peuvent modifier les données de l’entreprise, qui s’avère être un revers majeur pour l’entreprise de système de gestion de base de données.