Téléverser un fichier

hugo lapointe di giacomo failles de sécurité injection

  • Home
  • Documents
  • Hugo Lapointe Di Giacomo Failles de sécurité INJECTION
13
Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Upload: melisande-merle

Post on 03-Apr-2015

110 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Hugo Lapointe Di Giacomo

Failles de sécurité

INJECTION

Page 2: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Sommaire

Injection

1Définition

2Exemples

3Solution

Page 3: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Qu’est-ce que l’injection?

Définition

1

Page 4: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Définition

« Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est envoyée à un interpréteur en tant

qu'élément d'une commande ou d'une requête. Les données hostiles de l'attaquant peuvent

duper l'interpréteur afin de l'amener à exécuter des commandes fortuites ou accéder à des

données non autorisées. »

Page 5: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Type

s d’

Inje

ction

Injection SQLUne injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.

Page 6: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Type

s d’

Inje

ction

Injection OSUne injection OS est un type d'exploitation d'une faille de sécurité d'une application, en injectant une commande relative au système non prévue et pouvant compromettre sa sécurité.

Page 7: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Type

s d’

Inje

ction

Injection LDAPUne injection LDAP est un type d'exploitation d'une faille de sécurité d'une application interagissant avec un service d’authentification basé sur le protocole LDAP, en injectant une requête non prévue par le système et pouvant compromettre sa sécurité.

Page 8: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

2 Exemples

Injection

Page 9: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Injection SQL

• Afin de pénétrer dans une base de données par une faille SQL, il faut passer par deux étapes : la détection de la faille (manuel) et l’exploitation de la faille (peut être automatisé).

• Voici quelques exemples :– http://www.youtube.com/watch?v=h-9rHTLHJTY

(manuel)– http://www.youtube.com/watch?v=4_rV-fc-IfY

(automatisé)

http://www.youtube.com/watch?v=h-9rHTLHJTY
http://www.youtube.com/watch?v=h-9rHTLHJTY
http://www.youtube.com/watch?v=4_rV-fc-IfY
http://www.youtube.com/watch?v=4_rV-fc-IfY
Page 10: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

3 Solutions

Injection

Page 11: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

EMPÊCHER CETTE ATTAQUEPrévenir une injection nécessite de séparer les données non contrôlées des requêtes ou des commandes.

• La meilleure option consiste à utiliser une API sécurisée qui permet de se passer de l’interpréteur ou qui fournit une interface de paramétrage des requêtes. Méfiez vous des API, comme les procédures stockées, qui sont paramétrées mais qui peuvent introduire des injections en profondeur.

• Si vous ne disposez pas d’une API de paramétrage des requêtes, vous devez faire extrêmement attention à échapper les caractères spéciaux en utilisant la syntaxe particulière de l’interpréteur.

Page 12: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

? Mais, attendez…Il y a plus.

Suite!

Page 13: Hugo Lapointe Di Giacomo Failles de sécurité INJECTION

Support disponible

• Plusieurs organismes offres des solutions à l’injection et propose plusieurs moyens selon vos besoins.

• OWASP : https://www.owasp.org


Pierre Lapointe Fait par: Rosalie Readman. Pierre Lapointe

FOCUS - Studi Festival...Davide Capuano, Giacomo Feltrinelli, Luca Poma, Alejandra Varela, Giacomo Mangili Via Tortona, 12 [email protected] Keep calm say foam (psychophysical

L'innovation systématique en GIA - Serge Lapointe

FFORCES ET FAILLESORCES ET FAILLES DDU CADRE …

Aldo Giovanni E Giacomo

1 Comité de gestion Ordre du jour : Réunion du 25 août 2008 Ouverture P E Lapointe Rôle du comité de gestion P.É Lapointe Analyse de la situation P.É Lapointe

Giacomo Balla

Ouverture de l’assemblée par Benoit Lapointe, président du

PRÉVENIR L’EXPLOITATION DES FAILLES DE SÉCURITÉ

lapointe CV january 2021 - mcgill.ca

Présenté par: Isabelle Lapointe Karen McAndrew Cindy Turpin

André Lapointe Le champ1

Programma - Comune di Zibido San Giacomo

Failles de sécurité des applications Web

Casanova, Giacomo - Memorias - Tomo 2

Hackspace Cadre Normatif - Mario Lapointe

Boby Lapointeancienssaintcasimir.e-monsite.com/medias/files/biographie.pdf · Boby Lapointe 2 Monument en hommage à Boby Lapointe (Pézenas). Débuts et succès En 1946, il épouse

Failles Securite Application Web

LA GESTION Jean-Bruno Lapointe DES ÉQUIPEMENTS LA …

Paul-Marie Lapointe, le combinateur et le jazzman

Les failles actives - IPGPstep.ipgp.fr/images/a/aa/Tecto8.pdf · Les failles actives Identification - images satellitaires - terrain Fonctionnement - vitesse moyenne - cycle sismique

Carissimi Giacomo Vittoria Mio Core

Aria - Vittoria! Vittoria! - Gian Giacomo Carissimi

La gouvernance européenne, ses failles

"Demone bianco" di Giacomo Cutrera

testi di Giacomo Badoaro Francesco Sacrati

Giacomo Barozzi Da Vignola Obras

Bibliothèque de Gatien Lapointe

Giacomo PUCCINI La Bohème

Principales failles de sécurité des applications Web

Nouveaux contours de mythes classiques Mythes d’Operette · Giacomo Leopardi Le mythe repensé dans l’œuvre de Giacomo Leopardi Colloque international organisé par le CAER avec

Balletti a cinque voci, 1591 / Giovanni Giacomo Gastoldi

Extrait de "Failles ordinaires"

Giacomo De Benedetti – La Quinzaine Littéraire – Juillet 2001 ...16 Octobre 1643 – Giacomo De Benedetti – La Quinzaine Littéraire – Juillet 2001 16 Octobre 1643 – Giacomo

Paul-Marie Lapointe et la question de l’Amérique