Pour faire suite à mon message du 19 mars "Se prémunir des attaques de type "SQL Injection"..." , voici une nouvelle alerte sur le sujet.

En effet, on note une recrudescence mondiale des attaques de type : "SQL Injection".

Elles sont basées sur des sites ASP + SQL Server donnant accès à des URI de type : http://contoso.com/widgets.asp?widget=sprocket .

Ces attaques n'exploitent pas des vulnérabilités de Windows , IIS ou SQL Server mais s'appuient plutôt la façon dont sont codées ces applications.

Il existe un certain nombre de règles bien connues pour se protéger de ce type d'attaques, notamment :

  • exécution des applications avec le minimum de droits
  • utilisation des requêtes paramètrées
  • utilisation de procédures stockées
  • utilisation des droits "execute" uniquement

Un excellent message récapitulatif sur ces sujets vient d'être posté ici :

http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx 

Bonne lecture et protégez-vous ! :-)

image