Hacking

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Renouveau des attaques par injection SQL, selon IBM


Edition du 21/05/2008 - par Charles Savary avec IDG News Service

Les attaques par SQL injection sont banales. Elles atteignent un niveau de virulence inédit sur toute la planète, selon les experts en sécurité d'IBM.

Une attaque par injection SQL entre dans sa troisième phase, selon IBM. Elle a déjà affecté un demi-million de sites Web dans le monde. L'offensive a débuté en janvier dernier à petite échelle. En avril, les pirates ont modifié leurs méthodes pour contourner les mesures de sécurité et le nombre d'attaques a grimpé en flèche.

Une attaque dirigée contre la base SQL du site Web
Cette troisième vague, lancée il y a deux semaines, déjoue plus facilement les protections. « J'ai traqué de telles attaques durant les six dernières années. Celle-ci est l'une des plus complexes et embrouillées que je n'ai jamais vues, affirme David Dewey, directeur de recherche à l'X-Force, chez IBM. L'injection SQL est une attaque dirigée contre la base de données d'une application Web et dans laquelle on exécute des commandes SQL non autorisées en profitant de failles dans le code. Elle est l'une des plus communes sur le Web, notamment parce qu'un navigateur et quelques connaissances dans les requêtes SQL suffisent.

Des pages Web qui tentent de télécharger des codes malicieux
« Les attaques récentes sont extrêmement complexes et difficiles à détecter avant qu'il ne soit trop tard, avoue David Dewey. Un site britannique de publicité et de marketing, Autoweb, victime d'une récente attaque par injection SQL, n'a pu redémarrer qu'à l'issue d'une série de contre-mesures visant à bloquer les adresses IP en Chine d'où provenaient les attaques. Un développeur a dû colmater ses failles. Trente caractères avaient été injectés dans une ligne de commande afin d'écraser le contenu. L'attaque avait laissé ...

Page suivante (2/2) >


Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Les menaces principales selon trois éditeurs de logiciels de sécurité

Trois éditeurs spécialistes de la sécurité, dont les offres sont complémentaires, (...)

La politique des entreprises en matière d'archivage des emails dans le flou

Une étude sponsorisée par GFT Inboxx met en avant les mauvaises pratiques en ce qui (...)

Total retient IBM pour ses projets sécurité

Le groupe pétrolier Total a retenu IBM pour un projet d'ingénierie de la sécurité (...)

La sécurité en lame chez IBM

L'IBM BladeCenter PN41 n'est pas un serveur lame de plus dans la gamme d'IBM. Il (...)

L'indien Tata Communications tient à la certification ISO 27001

Tata Communications a obtenu en août dernier la certification ISO 27001 pour son (...)

500 millions de feuilles de papier dans la ligne de mire d'Hélios

La plate-forme de télétransmission FAST de la CDC CEE est homologuée pour Hélios. (...)

Quand Siemens PLM Software « trouve » une liste de clients de son concurent Dassault Systèmes

Dans un communiqué daté du 3 septembre 2008, Dassault Systèmes, numéro un mondial (...)
Recherche
Sondage flash
Le "Green IT" est une démarche dans votre entreprise
Conférences
25/09/2008
SEGMENTER ET DYNAMISER SES CONTRATS D'INFOGERANCE
De 8h30 à 14h00 à l'Automobile Club de France - Paris 8è
  s'inscrire
conférencestoutes les
conférences
Agenda
Du jeudi 11 septembre 2008 au jeudi 11 septembre 2008
Les Jeudis.com
Palais des Congrès - Porte Maillot
en savoir plus
agendatout
l'agenda