par William Sheldon - Mis en ligne le 23/11/2005 - Publié en Décembre 2004
Au moment de définir votre infrastructure de sécurité, la protection des
données de votre organisation constitue votre principal objectif. SQL Server, en tant
que référentiel de données, devient le centre de votre univers axé sur la sécurité.
Pour sécuriser vos données, vous avez exécuté l'outil MBSA (Microsoft Baseline
Security Analyzer), limité les communications avec la base de données, mis en
oeuvre le protocole IPSec (Internet
Protocol Security) afin de crypter vos communications
et peut-être même ajouté un
pare-feu séparé. Malgré tout, il reste un
moyen pour les intrus d'attaquer votre
base de données : par le biais des applications
qu'elle prend en charge. Toute stratégie
de sécurité comporte un maillon
faible et, du point de la conception, l'élément
le plus faible de votre stratégie sera
l'application Web car elle constitue le principal
point d'entrée pour les intrus, les autres chemins d'accès possibles ayant normalement
été verrouillés. Toutefois, une gestion incorrecte de ce point d'entrée
peut rendre vos données vulnérables à l'attaque potentiellement dévastatrice
qu'est l'injection de code SQL. Ce type d'attaque est extrêmement dommageable
car elle permet aux intrus d'exécuter des commandes directement sur votre base
de données.
Comment éviter les attaques par injection de code SQL
Pour minimiser votre vulnérabilité aux attaques par injection de code SQL, vous
pouvez définir des couches de protection au niveau de votre base de données. Cet
article a pour objet d’expliquer comment mettre en place deux de ces couches : le
filtrage des saisies utilisateur et la limitation des autorisations des utilisateurs. Mais
avant de mettre en oeuvre une défense efficace contre les attaques par injection de
code SQL, vous devez comprendre les mécanismes de ce type d’attaque.
Commençons par créer un exemple de scénario d’injection afin de mieux appréhender
la menace à laquelle vous êtes confronté.
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
- La blockchain en pratique
- Intelligence Artificielle : DeepKube sécurise en profondeur les données des entreprises
- Dark Web : où sont vos données dérobées ?
- Stockage autonome, Evolutivité & Gestion intelligente, Pure Storage offre de nouvelles perspectives aux entreprises
- 10 grandes tendances Business Intelligence
Les plus consultés sur iTPro.fr
- Le Zero Trust : pourquoi votre entreprise en a besoin
- Cloud souverain : répondre aux enjeux d’hybridation et de maîtrise des dépendances
- Cybermenaces 2026 : l’IA devient la nouvelle arme des attaquants
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
Articles les + lus
Sauvegarder les données ne suffit plus : il faut refonder le poste de travail
Construire la souveraineté numérique en Europe grâce à un écosystème ouvert et collaboratif
Editeurs, crawlers et équipes sécurité, les alliances qui feront tenir le web
Tendances Supply Chain : investir dans la technologie pour répondre aux nouvelles attentes clients
La visibilité des données, rempart ultime aux dérives du « Shadow AI »
À la une de la chaîne Data
- Sauvegarder les données ne suffit plus : il faut refonder le poste de travail
- Construire la souveraineté numérique en Europe grâce à un écosystème ouvert et collaboratif
- Editeurs, crawlers et équipes sécurité, les alliances qui feront tenir le web
- Tendances Supply Chain : investir dans la technologie pour répondre aux nouvelles attentes clients
- La visibilité des données, rempart ultime aux dérives du « Shadow AI »
