L'expert en sécurité
informatique
Forge d'URL, CGI, Injection SQL 3/3

Le pirate se retrouve alors avec beaucoup d'information assez critiques sur le paramétrage du serveur Notes, ou dans l'exemple suivant avec les logs de la machine :
http://www.mondomaine.com/extranet/log2.nsf

La plupart du temps, ces attaques sont utilisées pour faire un « deface » (defacement, en anglais défigurer) du site web de l'entreprise ciblé, en modifiant sa page d'accueil, ce qui nuit à son image. Mais certaines vulnérabilités de cette catégorie permette d'aller plus loin et de compromettre la machine et donc d'avoir un premier pied dans le réseau pour aller plus loin.

Ces vulnérabilités sont partiellement contournables. Il est possible notamment de mettre un réglage en place qui réclame un login et un mot de passe pour atteindre certaine partie sensible du site. Ensuite il convient de vérifier ses programmes afin de s'assurer que les paramètres sont correctement contrôlés. Enfin, la meilleure protection repose sur un « reverse proxy » qui nettoiera les adresses URL avant de les transmettre au serveur Web concerné. Un IDS repère les tentatives les plus classiques, comme celle par exemple lancées contre IIS (Internet Information Service) de Microsoft, qui à lui aussi connu nombre de malheur dans cette catégorie de vulnérabilités.

Dans le cadre des injections SQL, la procédure est presque la même, à ceci prêt que le but est d'injecter ou de lire des informations dans la base de donnée en remplissant, par exemple, les champs d'un formulaire d'une façon spéciale. Ceci peut permettre de récupérer d'autres données que celles que le script devrait fournir ou encore de corrompre des données existantes.

 

Bon à savoir :
En sécurité informatique, comme ailleurs, la confiance n'exclue le contrôle. Un audit de sécurité peut être partiel ou exhaustif selon le besoin du client, mais il est avant tout collaboratif. La formation est un devoir de l'entreprise envers ses salariés mais la formation en sécurité permet avant tout de protéger le SI. Le test d'intrusion, qu'il soit externe ou interne, permet de vérifier son niveau réel d'exposition face à des personnes qui seraient mal intentionnées. Un test d'intrusion est une photographie alors que la sécurité du SI varie tous les jours. Le cadre légal français est très précis en sécurité informatique et la formation sécurité permet à tous de comprendre ses droits et devoirs. Une fois l'audit de sécurité réalisé, les rapports permettent aux acteurs locaux de corriger les différents points soulevés.
© NBS System 2000-2007. Tous droits réservés. Entreprise spécialisée dans la sécurité informatique. Nous vous proposons des prestations telles que l'audit de sécurité ou encore le test d'intrusion.