Hacking

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Renouveau des attaques par injection SQL, selon IBM


Edition du 21/05/2008 - par Charles Savary avec IDG News Service

Les attaques par SQL injection sont banales. Elles atteignent un niveau de virulence inédit sur toute la planète, selon les experts en sécurité d'IBM.

Une attaque par injection SQL entre dans sa troisième phase, selon IBM. Elle a déjà affecté un demi-million de sites Web dans le monde. L'offensive a débuté en janvier dernier à petite échelle. En avril, les pirates ont modifié leurs méthodes pour contourner les mesures de sécurité et le nombre d'attaques a grimpé en flèche.

Une attaque dirigée contre la base SQL du site Web
Cette troisième vague, lancée il y a deux semaines, déjoue plus facilement les protections. « J'ai traqué de telles attaques durant les six dernières années. Celle-ci est l'une des plus complexes et embrouillées que je n'ai jamais vues, affirme David Dewey, directeur de recherche à l'X-Force, chez IBM. L'injection SQL est une attaque dirigée contre la base de données d'une application Web et dans laquelle on exécute des commandes SQL non autorisées en profitant de failles dans le code. Elle est l'une des plus communes sur le Web, notamment parce qu'un navigateur et quelques connaissances dans les requêtes SQL suffisent.

Des pages Web qui tentent de télécharger des codes malicieux
« Les attaques récentes sont extrêmement complexes et difficiles à détecter avant qu'il ne soit trop tard, avoue David Dewey. Un site britannique de publicité et de marketing, Autoweb, victime d'une récente attaque par injection SQL, n'a pu redémarrer qu'à l'issue d'une série de contre-mesures visant à bloquer les adresses IP en Chine d'où provenaient les attaques. Un développeur a dû colmater ses failles. Trente caractères avaient été injectés dans une ligne de commande afin d'écraser le contenu. L'attaque avait laissé ...

Page suivante (2/2) >


Vos commentaires

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Le parlement européen s'insurge face à la négociation sur l'ACTA

Les eurodéputés ont voté à une très grande majorité une résolution appelant à la (...)

Affrontement majeur autour de la sécurité des DNS

Le président de l'Icann dramatise la situation autour de l'insécurité des DNS. Chris (...)

Google numérisera les bibliothèques de Rome et de Florence

Google signe un accord avec l'Italie pour la numérisation des livres. Google et (...)

En France, les PC portables sont volés dans les voitures et aux domiciles

En France, les vols de PC portables sont surtout effectués dans une voiture ou au (...)

La vidéo surveillance tente d'établir ses standards

Le Forum Open-IPVidéo lance son laboratoire et s'ouvre aux utilisateurs. Né à l'automne (...)

La France finance un parefeu pour 1 million d'utilisateurs

La société EdenWall reçoit une aide pour développer son prochain firewall. L'Etat (...)

Conférence RSA : les cyberconflits et les risques liés au Cloud inquiètent

La sécurité du ''Cloud Computing'' (nuage informatique) a plané sur la conférence (...)
Recherche
Sondage flash
En ayant virtualisé vos serveurs, le retour sur investissement

Conférences
23/03/2010
CLOUD COMPUTING
De 8h30 - 14h00 à l'Automobile Club de France - Paris 8e
programme   s'inscrire
conférencestoutes les
conférences
Agenda
Du mardi 16 mars 2010 au jeudi 18 mars 2010
Stratégies Clients
Paris Porte de Versailles, Hall 1
en savoir plus
agendatout
l'agenda