Retour

Les attaques par injection

Les attaques par injection, et en particulier les injections SQL, sont les failles les plus communément exploitées par les pirates.

Injection SQL ("SQLi")

L'injection SQL est une technique destinée à prendre le contrôle d'une requête de base de données pour compromettre la confidentialité ou modifier une base de données. L'attaquant utilise des failles dans l'application serveur pour injecter une commande à exécuter dans la base de données.

Les injections SQL de "premier niveau" injectent des données malveillantes, qui déclenchent l'attaque lorsque l'application serveur enregistre une nouvelle information dans la base de données.

Les injections SQL de "second niveau" injectent dans la base de données des données malveillantes qui seront activées lorsqu'elles sont rechargées et incluses dans une requête dynamique.

L'application serveur est vulnérable si elle utilisent les données littéralement dans une requête. Pour se prémunir de ces failles, l'application serveur doit séparer les données envoyées par un appareil (or l'attaquant) qui doivent être traitées des instructions de base de données qui manipulent ces données, avec pour résultat l'élimination de l'impact de l'injection de code malveillant dans les données.

Les autres injections

D'autres forme d'attaques par injection existent, telles que les injections de commande système, LDAP ou de ressources. Elles fonctionnent sur le même principe que l'injection SQL, en ciblant le système, l'annuaire de l'entreprise ou des ressources applicatives. La parade à ces attaques reposent également sur le même principe que celle des attaques SQL.


La solution Motilia a été conçue dès l'origine pour se prémunir des attaques par injection SQL. Le mécanisme de défense retenue permet par ailleurs l'optimisation des accès aux bases de données. Contactez-nous pour obtenir plus d'informations sur la sécurité intégrée à Motilia.


En déployant votre solution mobile avec Motilia, vous bénéficiez des mécanismes de sécurité intégrés