Injection SQL: Le retour!
Dans l'avis de sécurité KB 954462 publié le 24 juin, nous reparlons de ce phénomène assez connu:
- FR: Augmentation des attaques par injection SQL exploitant des entrées de données utilisateur non vérifiées
- EN: Rise in SQL Injection Attacks Exploiting Unverified User Data Input
Comme le dit mon collègue Pascal:
Cet avis est intéressant à plus d'un titre : tout d'abord, il est révélateur du fait que les vulnérabilités peuvent se trouver à tous les niveaux d'un système. Plus les couches réseau et système sont "sécurisées" (notez les guillemets : "sécurisé" reste toujours une notion relative), plus les attaques vont se porter sur les couches applicatives.
Cet avis donne donc l'occasion de se pencher à nouveau sur les conseils de développement sécurisé , et notamment sur le principe "never trust user input!" : toute entrée utilisateur doit être contrôlée avant d'être utilisée.
Autre point intéressant : le retour d'UrlScan ! En effet, une version 3.0 beta fait son apparition, compatible avec IIS version 5.1 à 7 (Windows Server 2008). Entre autres améliorations, USRScan 3.0 peut maintenant contrôler la requête complète (après le '?'), ce qui peut servir de solution de contournement temporaire en attendant la correction des applications web vulnérables.
Plus d'informations dans l'avis (notamment sur des outils d'analyse de code) et dans ces articles :