Examinons un exemple de problème e-commerce qui peut survenir quand la couche de sécurité la plus élémentaire - c'est-à -dire un code sûr - est déficiente. Les nouvelles possibilités que les services Web, omniprésents aujourd'hui, apportent aux entreprises peuvent aussi accroître la vulnérabilité des données. Les services Web se prêtent à
Nouveaux risques et dangers
merveille à l’interopérabilité
entre systèmes basés sur le Web.
Les sociétés exposent les fonctions
et transactions internes à
d’autres systèmes – internes et
externes. Les développeurs peuvent
exposer des fonctions
comme des services Web de
nombreuses manières différentes,
dont certaines sont
simples mais dangereuses. Par
exemple, les releases Web de
XML for SQL Server 2000
(SQLXML) étoffent les possibilités
intégrées de SQL Server avec
le moyen de créer des services
Web XML à partir des procédures
stockées de SQL Server. Avec
SQLXML, vous pouvez appeler une
procédure stockée nommée, par
exemple, sp_update_company_customers
en utilisant le modèle XML que
montre le listing 1.
Avec ce modèle, construire un service
Web basé sur des procédures stockées
est facile – trop facile. Le développeur
initial a probablement écrit la
procédure stockée sp_update_ company_
customers pour qu’on ne l’utilise
que dans une application base de
données et dans des environnements
contrôlés. Supposons que la procédure
stockée sp_update_ company_
customers utilise le nom de la société
et met à jour tous les clients de celle-ci
en concaténant le nom de la société à
la clause WHERE. Dès lors qu’un développeur
construit un nouveau service
Web autour de cette procédure stockée,
n’importe qui peut appeler
sp_update_company_customers à partir
de n’importe où. Un pirate futé peut
appeler ce service Web et transmettre
une chaîne de requête comme ACME,
avec DROP TABLE customers comme
argument. Résultat : suppression d’une
grande quantité de données et, probablement,
tout le système à genoux.
A l’évidence, les concepteurs de la
procédure stockée décrite et du service
Web devraient avoir soigné davantage
la validation de l’entrée et la mise
en oeuvre d’un contrôle de sécurité
propre à l’application dans la procédure
stockée. En réalité, la plupart des
attaques de systèmes, y compris la
classe de problèmes par débordement
de buffer que les produits Microsoft
comme SQL Server ont subi, tirent
parti des paramètres non vérifiés qui
résultent quand les développeurs
prennent des raccourcis. Donc, même
si une application bien conçue, bien
codée et bien testée, est théoriquement
très sûre, les meilleures pratiques
de sécurité actuelles obligent à
utiliser des couches de sécurité supplémentaires
externes aux applications
et qui peuvent s’ajouter aux bonnes
habitudes de coding.
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Cybersécurité Active Directory et les attaques de nouvelle génération
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Chiffrements symétrique vs asymétrique
- Les 6 étapes vers un diagnostic réussi
Les plus consultés sur iTPro.fr
- Splunk : vers un SOC agentique et de confiance
- Le trilemme de la souveraineté : le coût caché du cloud qui freine l’IA en Europe
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Semperis : gouverner l’identité à l’ère des agents IA
Articles les + lus
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
À la une de la chaîne Tech
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
