Hacking

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Renouveau des attaques par injection SQL, selon IBM


Edition du 21/05/2008 - par Charles Savary avec IDG News Service

Les attaques par SQL injection sont banales. Elles atteignent un niveau de virulence inédit sur toute la planète, selon les experts en sécurité d'IBM.

Une attaque par injection SQL entre dans sa troisième phase, selon IBM. Elle a déjà affecté un demi-million de sites Web dans le monde. L'offensive a débuté en janvier dernier à petite échelle. En avril, les pirates ont modifié leurs méthodes pour contourner les mesures de sécurité et le nombre d'attaques a grimpé en flèche.

Une attaque dirigée contre la base SQL du site Web
Cette troisième vague, lancée il y a deux semaines, déjoue plus facilement les protections. « J'ai traqué de telles attaques durant les six dernières années. Celle-ci est l'une des plus complexes et embrouillées que je n'ai jamais vues, affirme David Dewey, directeur de recherche à l'X-Force, chez IBM. L'injection SQL est une attaque dirigée contre la base de données d'une application Web et dans laquelle on exécute des commandes SQL non autorisées en profitant de failles dans le code. Elle est l'une des plus communes sur le Web, notamment parce qu'un navigateur et quelques connaissances dans les requêtes SQL suffisent.

Des pages Web qui tentent de télécharger des codes malicieux
« Les attaques récentes sont extrêmement complexes et difficiles à détecter avant qu'il ne soit trop tard, avoue David Dewey. Un site britannique de publicité et de marketing, Autoweb, victime d'une récente attaque par injection SQL, n'a pu redémarrer qu'à l'issue d'une série de contre-mesures visant à bloquer les adresses IP en Chine d'où provenaient les attaques. Un développeur a dû colmater ses failles. Trente caractères avaient été injectés dans une ligne de commande afin d'écraser le contenu. L'attaque avait laissé ...

Page suivante (2/2) >


Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
L'administrateur réseau de la ville de San Francisco plaide non coupable

C'est un administrateur réseau mécontent qui a plaidé non coupable le jeudi 17 juillet (...)

Le NAC déployé au niveau mondial chez Estee Lauder, géant de la cosmétique

Estee Lauder est un groupe mondial qui emploie 25 000 personnes. Afin d'être conforme (...)

Le ministère de la Défense britannique sème ses clés USB à tout vent

Le ministre de la défense britannique, Bob Ainsworth, a répondu à une question d'un (...)

La traçabilité, une obligation lourde pour les RSSI

Savoir qui fait quoi avec les applications de l'entreprise est une obligation pour (...)

Le gouvernement britannique multiplie les bases de données qu'il passe son temps à perdre

Le commissaire à l'information, Richard Thomas, a donné une claque au gouvernement (...)

Un spammer condamné à 30 mois de prison pour avoir inondé AOL

Adam Vitale, âgé de 27 ans, a été condamné à 30 mois de prison mardi 15 juillet pour (...)

Plus de 20 suspects d'escroquerie sur internet arrêtés en Roumanie

Plus de 20 personnes ont été arrêtées en Roumanie sur le soupçon d'escroquerie sur (...)
Recherche
Sondage flash
La téléphonie sur Wifi sur les sites étendus à la place du Dect
Conférences
25/09/2008
INFOGERANCE
De 8h30 à 14h00 à l'Automobile Club de France - Paris 8è
  s'inscrire
conférencestoutes les
conférences
Agenda
Du mercredi 24 septembre 2008 au jeudi 25 septembre 2008
Paris Capitale du Libre
Maison Internationale de Paris 17 boulevard Jourdan 75014 PARIS
en savoir plus
agendatout
l'agenda