Sécurisez votre site Web contre les vulnérabilités d’injection SQL
Depuis plus de 10 ans, les attaquants se sont introduits dans d’innombrables bases de données à l’aide de l’injection SQL pour voler des informations telles que les données de compte et les détails des transactions.
Les attaques par injection SQL ne sont pas un phénomène nouveau et les professionnels de la sécurité sont plus que capables de se protéger contre eux. Cependant, presque 97% des violations de données dans le monde impliquent toujours une injection SQL à un moment donné.
La lutte contre l’injection SQL doit adopter une approche efficace, qui identifie ce qui est un accès normal et ce qui est anormal – le tout sans créer de faux positifs pour les attaques et en même temps ne manquer aucune attaque en cours.
Des produits utilisant ce type d’approche font leur apparition, notamment la solution de gestion d’injection SQL de DB Networks, qui a récemment été examinée sur Enterprise Networking Planet.
Cela dit, il devient évident qu’il devrait y avoir quelques bonnes pratiques pour réduire la possibilité d’une attaque par injection SQL.
Sommaire
1. Ne faites pas confiance aux entrées (Input)
En termes simples, toute entrée dans le moteur SQL doit être validée, ce qui signifie que les organisations doivent créer et appliquer des directives de codage sécurisé qui nécessitent que SQL soit construit à l’aide de requêtes paramétrées, une technique à forte intensité de codage qui empêche les attaques par injection SQL en séparant le code exécutable des données entrées.
2. Créez des messages d’erreur avec soin
Les attaquants utilisent souvent des messages d’erreur mal conçus pour comprendre comment mieux attaquer une base de données. Les développeurs et les administrateurs de base de données doivent tenir compte des informations renvoyées via une erreur, en cas d’entrée inattendue. Par exemple, si une erreur de connexion revient avec «les noms d’utilisateur ne peuvent pas contenir de nombres», cela peut donner à un attaquant un aperçu de la façon de tirer parti des informations de compte d’utilisateur volées.
3. Gardez les bases de données et les applications entièrement corrigées
Les correctifs de sécurité doivent être régulièrement appliqués. Cependant, l’application de correctifs est l’une des techniques de sécurité les plus négligées. Cela peut être dû à une mauvaise gestion, au manque de notifications des fournisseurs ou à une combinaison de ces facteurs et d’autres. Pour beaucoup, la seule solution consiste à implémenter un système de gestion des correctifs qui supprime les tâches manuelles, qui passent souvent à travers les mailles du filet.
Bien que ces meilleures pratiques soient un bon début, d’autres pratiques devraient être prises en considération. Ces trois pratiques peuvent entraîner des coûts supplémentaires, mais sont finalement utiles à long terme si elles empêchent une violation de se produire.
4. Mettre en œuvre des outils de surveillance du réseau
La surveillance de l’activité d’accès au niveau de l’application peut rapidement indiquer qu’une attaque se produit. Des indices simples, comme une augmentation des erreurs ou une augmentation de l’activité, peuvent être utilisés pour avertir les administrateurs d’une attaque en cours.
5. Implémenter des outils de filtrage
Les applications de sécurité en temps réel peuvent fonctionner avec des systèmes de surveillance pour bloquer les attaques lorsqu’elles se produisent, en filtrant le trafic suspect et en refusant l’accès à la base de données.
