[Question-réponse] Sa sert a quoi l'injection SQL ??


 
Poster un nouveau sujet   Répondre au sujet    OWN3D BY KrL Index du Forum -> French - Hacking -> Hacking tutorial
Sujet précédent :: Sujet suivant  
Auteur Message
XxViRuSxX
Invité

Hors ligne




MessagePosté le: Mer 25 Aoû 2010 - 19:44    Sujet du message: [Question-réponse] Sa sert a quoi l'injection SQL ?? Répondre en citant

Injection SQL:Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.

Exemple :



Considérons un site web dynamique (programmé en PHP dans cet exemple) qui dispose d'un système permettant aux utilisateurs possédant un nom d'utilisateur et un mot de passe valides de se connecter. Ce site utilise la requête SQL suivante pour identifier un utilisateur :

Code:
SELECT uid WHERE name = '(nom)' AND password = '(mot de passe hashé)';



L'utilisateur Dupont souhaite se connecter avec son mot de passe "truc" hashé en MD5. La requête suivante est exécutée :

Code:
SELECT uid WHERE name = 'Dupont' AND password = '45723a2af3788c4ff17f8d1114760e62';




Attaquer la requête

Imaginons à présent que le script PHP exécutant cette requête ne vérifie pas les données entrantes pour garantir sa sécurité. Un pirate informatique pourrait alors fournir les informations suivantes :

  • Utilisateur : Dupont' --
  • Mot de passe : n'importe lequel
La requête devient :

Code:
SELECT uid WHERE name = 'Dupont' -- ' AND password = '4e383a1918b432a9bb7702f086c56596e';



Les caractères -- marquent le début d'un commentaire en SQL. La requête est donc équivalente à :

Code:
SELECT uid WHERE name = 'Dupont';



Le pirate peut alors se connecter sous l'utilisateur Dupont avec n'importe quel mot de passe. Il s'agit d'une injection de SQL réussie, car le pirate est parvenu à injecter les caractères qu'il voulait pour modifier le comportement de la requête.
Supposons maintenant que le pirate veuille non pas tromper le script SQL sur le nom d'utilisateur, mais sur le mot de passe. Il pourra alors injecter le code suivant :

  • Utilisateur : Dupont
  • Mot de passe : ' or 1=1--
L'apostrophe indique la fin de la zone de frappe de l'utilisateur, le code "or 1=1" demande au script si 1=1 est vrai, or c'est toujours le cas, et -- indique le début d'un commentaire.
La requête devient alors :

Code:
SELECT uid WHERE name = 'Dupont' AND password = ' ' OR 1=1 -- 45723a2af3788c4ff17f8d1114760e62';



Ainsi le script programmé pour vérifier si ce que l'utilisateur tape est vrai, il verra que 1=1 est vrai, et le pirate sera connecté sous la session Dupont.
Solution Ici, la solution consiste à traiter correctement les chaînes de caractères entrées par l'utilisateur.
En PHP on peut utiliser pour cela la fonction mysql_real_escape_string, qui transformera la chaîne ' -- en \' --. La requête deviendrait alors :

Code:
SELECT uid WHERE name = 'Dupont\' -- ' AND password = '4e383a1918b432a9bb7702f086c56596e';



L'apostrophe de fin de chaîne ayant été correctement dé-spécialisée en la faisant précéder d'un caractère «\».
L'échappement peut aussi se faire (suivant le SGBD utilisé) en doublant les apostrophes.
La marque de commentaire fera alors partie de la chaîne, et finalement le serveur SQL répondra qu'il n'y a aucune entrée dans la base de données correspondant à l'utilisateur Dupont' -- .
La fonction addslashes ne suffit pas pour stopper les injections via les variables numériques, qui ne sont pas encadrées d'apostrophes ou de guillemets dans les requêtes SQL. Exemple avec la requête :

Code:
SELECT ... FROM ... WHERE numero_badge = $numero AND code_4_chiffre = $code;



qui réussit lorsque la variable $numero contient 0 or 1=1 --. Une précaution est d'utiliser la fonction ctype_digit pour vérifier les variables numériques des requêtes. On peut aussi forcer la transformation de la variable en nombre en la faisant précéder d'un transtypeur, comme (int) si on attend un entier (la chaîne 0 or 1=1 -- sera alors transformée en l'entier 0 et l'injection SQL échouera).
La fonction addslashes possède elle-même quelques failles sur certaines versions de PHP qui datent. De plus, elle échappe uniquement les caractères «\», «NULL», «'» et «"». Il serait plus approprié d'utiliser la fonction mysql_real_escape_string qui est justement créée pour échapper les caractères spéciaux d'une commande SQL (NULL, \x1a, \n , \r , \, ', " et \x00).
Comment éviter ces attaques

Ces attaques peuvent être évitées de plusieurs façons :

  1. Utiliser des procédures stockées, à la place du SQL dynamique. Les données entrées par l'utilisateur sont alors transmises comme paramètres, sans risque d'injection.
  2. Vérifier de manière précise et exhaustive l'ensemble des données venant de l'utilisateur. On peut, par exemple, utiliser une expression rationnelle afin de valider qu'une donnée entrée par l'utilisateur est bien de la forme souhaitée.
  3. Utiliser des comptes utilisateurs SQL à accès limité (en lecture-seule) quand cela est possible.
  4. Utiliser des requêtes SQL paramétrées (requêtes à trous envoyées au serveur SQL, serveur à qui l'on envoie par la suite les paramètres qui boucheront les trous), ainsi c'est le SGBD qui se charge d'échapper les caractères selon le type des paramètres.
  5. Réaliser un contrôle amont en bloquant systématiquement les données d'URL ou de Formulaire contenant des valeurs telles que EXEC, SELECT, INSERT, DROP, CREATE, ALTER, UPDATE, etc.
  6. Utiliser, en conjonction avec mysqli_real_escape_string, la fonction sprintf().
  7. Comparer le nom et mot de passe de l'usager avec ceux retournés par la requête SQL.
Note : Pour contrer les injections de code SQL, les « magic quotes » sont utilisées par défaut dans la configuration de PHP. Elles permettent de placer un caractère d’échappement devant les apostrophes.
Certaines failles de sécurité et l’annonce de la disparition de magic_quotes_gpc dans PHP6 nous incitent à remplacer cette option par l’usage systématique de la fonction mysql_real_escape_string.
Il existe de nouvelles fonctions pour l'accès à des base de données avec PHP dans PHP_Data_Objects comme la fonction suivante :
prepare('requete sql avec des points d'interrogation à la place des variables');


Revenir en haut
Publicité






MessagePosté le: Mer 25 Aoû 2010 - 19:44    Sujet du message: Publicité

PublicitéSupprimer les publicités ?
Revenir en haut
Mr.MiLoO
Invité

Hors ligne




MessagePosté le: Jeu 26 Aoû 2010 - 01:58    Sujet du message: [Question-réponse] Sa sert a quoi l'injection SQL ?? Répondre en citant

Comment on fais les injection SQL justement :/

Revenir en haut
Contenu Sponsorisé






MessagePosté le: Aujourd’hui à 23:18    Sujet du message: [Question-réponse] Sa sert a quoi l'injection SQL ??

Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    OWN3D BY KrL Index du Forum ->
   Hacking tutorial
Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1

 
Sauter vers:  
Index | créer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation