Hacking

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Renouveau des attaques par injection SQL, selon IBM


Edition du 21/05/2008 - par Charles Savary avec IDG News Service

Les attaques par SQL injection sont banales. Elles atteignent un niveau de virulence inédit sur toute la planète, selon les experts en sécurité d'IBM.

Une attaque par injection SQL entre dans sa troisième phase, selon IBM. Elle a déjà affecté un demi-million de sites Web dans le monde. L'offensive a débuté en janvier dernier à petite échelle. En avril, les pirates ont modifié leurs méthodes pour contourner les mesures de sécurité et le nombre d'attaques a grimpé en flèche.

Une attaque dirigée contre la base SQL du site Web
Cette troisième vague, lancée il y a deux semaines, déjoue plus facilement les protections. « J'ai traqué de telles attaques durant les six dernières années. Celle-ci est l'une des plus complexes et embrouillées que je n'ai jamais vues, affirme David Dewey, directeur de recherche à l'X-Force, chez IBM. L'injection SQL est une attaque dirigée contre la base de données d'une application Web et dans laquelle on exécute des commandes SQL non autorisées en profitant de failles dans le code. Elle est l'une des plus communes sur le Web, notamment parce qu'un navigateur et quelques connaissances dans les requêtes SQL suffisent.

Des pages Web qui tentent de télécharger des codes malicieux
« Les attaques récentes sont extrêmement complexes et difficiles à détecter avant qu'il ne soit trop tard, avoue David Dewey. Un site britannique de publicité et de marketing, Autoweb, victime d'une récente attaque par injection SQL, n'a pu redémarrer qu'à l'issue d'une série de contre-mesures visant à bloquer les adresses IP en Chine d'où provenaient les attaques. Un développeur a dû colmater ses failles. Trente caractères avaient été injectés dans une ligne de commande afin d'écraser le contenu. L'attaque avait laissé ...

Page suivante (2/2) >


Vos commentaires

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
La fronde enfle contre le fichier Edvige

De nombreuses critiques ciblent le fichier Edvige, un mois après la publication au (...)

Le FBI avertit de nouvelles attaques du vers Storm

Une vague de plaintes incite le FBI à émettre un avertissement sur un nouveau cycle (...)

Un hacker britannique menacé d'extradition aux Etats Unis va faire appel devant la cour des droits de l'homme à Strasbourg

Le hacker britannique Gary M (...)

Pékin filtre internet pour les journalistes présents aux Jeux Olympiques, avec l'accord du CIO

A quelques jours de l'ouverture des Jeux Olympiques, les autorités chinoises concrétisent (...)

Les archives multimédia de la Nasa rassemblées en ligne

La Nasa lance un site Web de contenu multimédia, mis au point avec Internet Archive, (...)

Les correctifs DNS posent des problèmes, les développeurs l'admettent

Les correctifs émis au début de ce mois de Juillet 2008 afin d'annuler une faille (...)

La majorité des données sensibles sur les portables des organismes gouvernementaux américains n'est pas chiffrée

Aux Etats Unis, seulement 30% des données sensibles sont chiffrées lorsqu'elles (...)
Recherche
Sondage flash
Le "Green IT" est une démarche dans votre entreprise
Conférences
25/09/2008
SEGMENTER ET DYNAMISER SES CONTRATS D'INFOGERANCE
De 8h30 à 14h00 à l'Automobile Club de France - Paris 8è
  s'inscrire
conférencestoutes les
conférences
Agenda
Du mercredi 3 septembre 2008 au mercredi 3 septembre 2008
Assemblée Générale de la FIEA
Musée de l'Aventure Peugeot, Carrefour de l'Europe, 25600 Sochaux
en savoir plus
agendatout
l'agenda