Hacking

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Renouveau des attaques par injection SQL, selon IBM


Edition du 21/05/2008 - par Charles Savary avec IDG News Service

Les attaques par SQL injection sont banales. Elles atteignent un niveau de virulence inédit sur toute la planète, selon les experts en sécurité d'IBM.

Une attaque par injection SQL entre dans sa troisième phase, selon IBM. Elle a déjà affecté un demi-million de sites Web dans le monde. L'offensive a débuté en janvier dernier à petite échelle. En avril, les pirates ont modifié leurs méthodes pour contourner les mesures de sécurité et le nombre d'attaques a grimpé en flèche.

Une attaque dirigée contre la base SQL du site Web
Cette troisième vague, lancée il y a deux semaines, déjoue plus facilement les protections. « J'ai traqué de telles attaques durant les six dernières années. Celle-ci est l'une des plus complexes et embrouillées que je n'ai jamais vues, affirme David Dewey, directeur de recherche à l'X-Force, chez IBM. L'injection SQL est une attaque dirigée contre la base de données d'une application Web et dans laquelle on exécute des commandes SQL non autorisées en profitant de failles dans le code. Elle est l'une des plus communes sur le Web, notamment parce qu'un navigateur et quelques connaissances dans les requêtes SQL suffisent.

Des pages Web qui tentent de télécharger des codes malicieux
« Les attaques récentes sont extrêmement complexes et difficiles à détecter avant qu'il ne soit trop tard, avoue David Dewey. Un site britannique de publicité et de marketing, Autoweb, victime d'une récente attaque par injection SQL, n'a pu redémarrer qu'à l'issue d'une série de contre-mesures visant à bloquer les adresses IP en Chine d'où provenaient les attaques. Un développeur a dû colmater ses failles. Trente caractères avaient été injectés dans une ligne de commande afin d'écraser le contenu. L'attaque avait laissé ...

Page suivante (2/2) >


Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Les informaticiens français champions de la violation des règles de sécurité

C'est l'inadaptation des politiques de sécurité mises en place par les entreprises (...)

Première mondiale : le premier acte notarié dématérialisé vient d'être signé en France

Cocorico : c'est en présence de deux ministres, Rachida Dati et Eric Besson, que (...)

Le Sénat remanie la riposte graduée à son idée

Le projet de loi dit Création et Internet pourrait être sensiblement modifié par (...)

Les mesures de la loi contre le téléchargement illégal

Le projet de loi Création et Internet, dit Hadopi, sera examiné à partir de mercredi (...)

Retard sur la délivrance des premiers passeports biométriques

La mise en production des premiers passeports biométriques devait être effective (...)

ICC 2008 : Les DSI fournisseurs d'intelligence économique

Les rencontres Innovation Compétitivité et Connaissance 2008 (ICC 2008) sont centrées (...)

Printemps.com agrège les sites partenaires à son éco-système de paiement privé

Les sites partenaires du site de commerce Printemps.com sont modifiés à la volée (...)
Recherche
Sondage flash
Communications unifiées : l'offre à voir en priorité est celle de
Agenda
Du mercredi 26 novembre 2008 au mercredi 26 novembre 2008
La sécurité, une opportunité pour la compétitivité
Mercredi 26 Novembre 2008 de 9h00 à 17h00, Auditorium AGF 87 rue de Richelieu, 75 0002 Paris Frais d'inscription : 100 euros pour les adhérents CDSE, 250 euros pour les non adhérents Contact : Olivier Hassid, 01 44 70 70 84, contact@cdse.fr
en savoir plus
agendatout
l'agenda