Edition du 25/04/2008 - par Marc Olanié

Londre, Infosec : de manière très lapidaire, cet article (relativement attendu) signé David Litchfield qui débute ainsi : Comment un attaquant peut-il exploiter une prodécure PL/SQL sans même nécessiter une saisie de la part de l'utilisateur ? ou comment peut-il lancer une injection SQL en utilisant des types « Date » ou « Number » ?

Deux doigts d'astuce et quatre pages d'explications accompagnées de pas mal de code, et le tour est joué. L'auteur reconnait lui-même que l'exploitation de cette « lateral injection attack dans la « vraie vie » risque d'être relativement difficile. Il n'y a pas lieu de trop s'inquiéter donc. Reste qu'il s'agit là tout de même d'une menace réalisable à distance, et qui pourrait entrer en jeu dans le cadre d'une tentative d'intrusion plus complexe, combinant plusieurs types d'exploits.