Les attaques par injection de code SQL pourraient être prévenues

Les attaques de bases de données par injection de code SQL pourraient être prévenues, selon un expert en sécurité cité par IT World Canada.Illustration du concept de sécurité et d'un écran tactile

IT World Canada rappelle que ces attaques contre des sites Internet sont encore utilisées par des pirates informatiques pour accéder à des informations personnelles, tels que ceux qui auraient recueilli 4,5 milliards d’enregistrements dans les bases de données de 420 000 sites web et FTP.

Selon Johannes Ullrich, chef de la recherche au SANS Institute, qui est un fournisseur de formations en sécurité, il n’y a pas de raisons pour que des vulnérabilités propices aux attaques par injection de code SQL existent encore aujourd’hui.

L’expert explique que des vulnérabilités propices aux attaques par injection de codes SQL malintentionnés peuvent être créés quand des programmeurs SQL utilisent la technique Dynamic SQL, dans laquelle l’instruction SQL est assemblée en chaîne qui utilise des données d’utilisateurs.

La solution reposerait ainsi sur les programmeurs SQL, qui devraient aujourd’hui pouvoir utiliser des instructions préparées pour envoyer les instructions SQL et les données d’utilisateurs séparément à la base de données, pour que les données ne puisse pas changer la requête.

Cependant, des bases de données n’auraient pas été encore compatibles avec les instructions préparées jusqu’à il y a cinq ans. Les développeurs de ces bases de données plus vieilles pourraient donc ne pas être familiers avec des instructions préparées plus longues et plus difficiles à écrire.

Lire l’article au complet sur le site d’IT World Canada, une publication sœur de Direction informatique (en anglais).

Articles connexes

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Le Centre pour la cybersécurité émet une mise en garde après qu’un groupe indien eut lancé une menace

L'autorité cybernétique du gouvernement canadien a émis un avertissement aux administrateurs informatiques du pays pour qu'ils surveillent les attaques, après qu'un groupe ou un individu prétendant être originaire de l'Inde eut émis une menace de représailles à la suite d’allégations selon lesquelles l'Inde aurait pu être à l'origine de l'assassinat d'un Canadien militant en faveur d'un État sikh indépendant.

Les autorités suppriment l’infrastructure de Qakbot et lancent des commandes pour supprimer le maliciel

La police de sept pays, dont les États-Unis, a déclaré mardi avoir infiltré et détruit l'infrastructure derrière le réseau zombie Qakbot, puis utilisé cet accès pour commander aux ordinateurs infectés de supprimer le logiciel malveillant.

­Une campagne d’hameçonnage tente de contourner les défenses avec des codes QR

Des cybercriminels utilisent toujours des codes QR dans des campagnes d’hameçonnage pour inciter les employés à télécharger des logiciels malveillants ou à révéler leurs informations d'identification.

Un rapport de BlackBerry révèle une augmentation de 40 % des cyberattaques

BlackBerry Limited a publié son dernier rapport trimestriel sur les menaces mondiales, mettant en lumière une augmentation inquiétante de 40 % des cyberattaques dirigées contre les agences gouvernementales et le secteur des services publics. La société a déclaré que ses solutions de cybersécurité basées sur l'IA avaient réussi à déjouer 55 000 attaques individuelles entre mars et mai 2023.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.