« Injection sql » : différence entre les versions

De Design wiki
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 7 : Ligne 7 :
L’injection SQL est une technique permettant d’injecter des éléments, notamment du code de type SQL (''Structured Query Language'', langage utilisé pour manipuler les bases de données), dans les champs des formulaires web ou dans les liens des pages afin de les envoyer au serveur web. De cette façon, les attaquants outrepassent les contrôles de sécurité et parviennent à afficher ou à modifier des éléments présents dans une base de données, par exemple des mots de passe ou des coordonnées bancaires. L’injection SQL permet ainsi l’accès à toutes les données personnelles (par exemple, des identités ou coordonnées d’utilisateurs ou d’employés) ou non personnelles (les articles présents, les prix de ces derniers, etc.), contenues dans une base de données SQL.<ref>[https://www.cnil.fr/fr/definition/injection-sql#:~:text=L%27injection%20SQL%20est%20une,les%20envoyer%20au%20serveur%20web. https://www.cnil.fr/fr/definition/injection-sql#:~:text=L%27injection%20SQL%20est%20une,les%20envoyer%20au%20serveur%20web.]</ref>
L’injection SQL est une technique permettant d’injecter des éléments, notamment du code de type SQL (''Structured Query Language'', langage utilisé pour manipuler les bases de données), dans les champs des formulaires web ou dans les liens des pages afin de les envoyer au serveur web. De cette façon, les attaquants outrepassent les contrôles de sécurité et parviennent à afficher ou à modifier des éléments présents dans une base de données, par exemple des mots de passe ou des coordonnées bancaires. L’injection SQL permet ainsi l’accès à toutes les données personnelles (par exemple, des identités ou coordonnées d’utilisateurs ou d’employés) ou non personnelles (les articles présents, les prix de ces derniers, etc.), contenues dans une base de données SQL.<ref>[https://www.cnil.fr/fr/definition/injection-sql#:~:text=L%27injection%20SQL%20est%20une,les%20envoyer%20au%20serveur%20web. https://www.cnil.fr/fr/definition/injection-sql#:~:text=L%27injection%20SQL%20est%20une,les%20envoyer%20au%20serveur%20web.]</ref>


Les attaques SQL sont relativement simple à mettre en oeuvre et peuvent avoir de lourdes concéquences. (exposition des données sensibles, vol de données personnelles et usurpation d'identité, obtention des droits administrateur sur le serveur...)
Les attaques SQL sont relativement simple à mettre en oeuvre et peuvent avoir de lourdes concéquences. (exposition des données sensibles, vol de données personnelles et usurpation d'identité, obtention des droits administrateur sur le serveur...) Outre le coût financier qui peut s’avérer très important, les attaques par injection SQL se traduisent également par une perte de confiance des utilisateurs et une atteinte à la réputation de l’entreprise.
 





Version du 27 octobre 2023 à 09:03

Définition

Une attaque par injection SQL, parfois abrégée SQLi, est une action malveillante par laquelle un hacker utilise ou “injecte” un morceau de code SQL dans une requête, afin de manipuler une base de données et d’accéder à des informations sensibles. Ces informations peuvent compter des listes d’utilisateurs, des coordonnées ou encore des données confidentielles liées à une entreprise.

L’attaque par injection SQL est un type de cyberattaque parmi les plus anciens et les plus répandus sur Internet. Ce type d’attaque a été signalé dès les années 1990, et est malheureusement toujours d’actualité. La plupart des sites web et applications utilisant des bases de données SQL, les attaques par injection SQL peuvent avoir un impact sur un grand nombre d’organisations.


L’injection SQL est une technique permettant d’injecter des éléments, notamment du code de type SQL (Structured Query Language, langage utilisé pour manipuler les bases de données), dans les champs des formulaires web ou dans les liens des pages afin de les envoyer au serveur web. De cette façon, les attaquants outrepassent les contrôles de sécurité et parviennent à afficher ou à modifier des éléments présents dans une base de données, par exemple des mots de passe ou des coordonnées bancaires. L’injection SQL permet ainsi l’accès à toutes les données personnelles (par exemple, des identités ou coordonnées d’utilisateurs ou d’employés) ou non personnelles (les articles présents, les prix de ces derniers, etc.), contenues dans une base de données SQL.[1]

Les attaques SQL sont relativement simple à mettre en oeuvre et peuvent avoir de lourdes concéquences. (exposition des données sensibles, vol de données personnelles et usurpation d'identité, obtention des droits administrateur sur le serveur...) Outre le coût financier qui peut s’avérer très important, les attaques par injection SQL se traduisent également par une perte de confiance des utilisateurs et une atteinte à la réputation de l’entreprise.




https://nordvpn.com/fr/blog/injection-sql/