Scribd
Importer
32 vues4 pages

Vulnérabilités SQL dans les applications Web

Transféré par

raniadesert2
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
32 vues4 pages

Vulnérabilités SQL dans les applications Web

Transféré par

raniadesert2
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Université Sultan Moulay Slimane (USMS)

Faculté Polydisciplinaire, Beni Mellal (FPBM)


Département d'Informatique

TP 4 : Vulnérabilités des applications Web -


Exploration avec PortSwigger's Web Security
Académie

Introduction :
PortSwigger Web Security Academy est une plateforme en ligne qui propose une variété de
sujets et de scénarios pour apprendre la sécurité des applications web. Ce TP vise à fournir
aux étudiants une expérience pratique en matière de sécurité des applications web en
utilisant les ressources de cette plateforme.

Tâche 1 : Création d’un compte sur PortSwigger Web Security Academy

Tâche 2 : Exploration d’une catégorie de vulnérabilité web

[Link] choisi SQL Injection :

[1]
Université Sultan Moulay Slimane (USMS)
Faculté Polydisciplinaire, Beni Mellal (FPBM)
Département d'Informatique

[Link] les concepts fondamentaux, les méthodes d'exploitation et les mesures de


prévention de cette catégorie de vulnérabilité web.

 L'injection SQL (SQLi) est une vulnérabilité de sécurité web qui permet à un attaquant
d'interférer avec les requêtes qu'une application fait à sa base de données

Les attaques par injection SQL ont été utilisées dans de nombreuses violations de données très
médiatisées au fil des ans. Celles-ci ont entraîné des atteintes à la réputation et des amendes
réglementaires. Dans certains cas, un attaquant peut obtenir une porte dérobée persistante dans les
systèmes d'une organisation, ce qui conduit à une compromission à long terme qui peut passer
inaperçue pendant une longue période.

Vous pouvez détecter manuellement les injections SQL en utilisant un ensemble systématique de tests
pour chaque point d'entrée de l'application. Pour ce faire, vous devez généralement soumettre :

 Le caractère guillemet simple ' et rechercher des erreurs ou d'autres anomalies.

[2]
Université Sultan Moulay Slimane (USMS)
Faculté Polydisciplinaire, Beni Mellal (FPBM)
Département d'Informatique

 une syntaxe SQL spécifique qui évalue la valeur de base (originale) du point d'entrée et une
valeur différente, et recherche les différences systématiques dans les réponses de l'application.
 Conditions booléennes telles que OR 1=1 et OR 1=2, et recherche de différences dans les
réponses de l'application.
 Charges utiles conçues pour déclencher des délais lorsqu'elles sont exécutées dans le cadre
d'une requête SQL, et recherche de différences dans le temps de réponse.
 Charges utiles OAST conçues pour déclencher une interaction réseau hors bande lorsqu'elles
sont exécutées dans le cadre d'une requête SQL, et surveiller les interactions qui en résultent.

Vous pouvez également trouver la majorité des vulnérabilités d'injection SQL de manière rapide et fiable
à l'aide de Burp Scanner.

Accès au labs :

Pour afficher tout le contenue de cette page qui est filtrer par « Lifestyle » on doit accéder aux
paramètres et ajouter ‘+OR+ 1=1 –

[3]
Université Sultan Moulay Slimane (USMS)
Faculté Polydisciplinaire, Beni Mellal (FPBM)
Département d'Informatique

Après la soumission de la demande :

[4]

Vous aimerez peut-être aussi