Examinons un exemple de problème e-commerce qui peut survenir quand la couche de sécurité la plus élémentaire - c'est-à -dire un code sûr - est déficiente. Les nouvelles possibilités que les services Web, omniprésents aujourd'hui, apportent aux entreprises peuvent aussi accroître la vulnérabilité des données. Les services Web se prêtent à
Nouveaux risques et dangers
merveille à l’interopérabilité
entre systèmes basés sur le Web.
Les sociétés exposent les fonctions
et transactions internes à
d’autres systèmes – internes et
externes. Les développeurs peuvent
exposer des fonctions
comme des services Web de
nombreuses manières différentes,
dont certaines sont
simples mais dangereuses. Par
exemple, les releases Web de
XML for SQL Server 2000
(SQLXML) étoffent les possibilités
intégrées de SQL Server avec
le moyen de créer des services
Web XML à partir des procédures
stockées de SQL Server. Avec
SQLXML, vous pouvez appeler une
procédure stockée nommée, par
exemple, sp_update_company_customers
en utilisant le modèle XML que
montre le listing 1.
Avec ce modèle, construire un service
Web basé sur des procédures stockées
est facile – trop facile. Le développeur
initial a probablement écrit la
procédure stockée sp_update_ company_
customers pour qu’on ne l’utilise
que dans une application base de
données et dans des environnements
contrôlés. Supposons que la procédure
stockée sp_update_ company_
customers utilise le nom de la société
et met à jour tous les clients de celle-ci
en concaténant le nom de la société à
la clause WHERE. Dès lors qu’un développeur
construit un nouveau service
Web autour de cette procédure stockée,
n’importe qui peut appeler
sp_update_company_customers à partir
de n’importe où. Un pirate futé peut
appeler ce service Web et transmettre
une chaîne de requête comme ACME,
avec DROP TABLE customers comme
argument. Résultat : suppression d’une
grande quantité de données et, probablement,
tout le système à genoux.
A l’évidence, les concepteurs de la
procédure stockée décrite et du service
Web devraient avoir soigné davantage
la validation de l’entrée et la mise
en oeuvre d’un contrôle de sécurité
propre à l’application dans la procédure
stockée. En réalité, la plupart des
attaques de systèmes, y compris la
classe de problèmes par débordement
de buffer que les produits Microsoft
comme SQL Server ont subi, tirent
parti des paramètres non vérifiés qui
résultent quand les développeurs
prennent des raccourcis. Donc, même
si une application bien conçue, bien
codée et bien testée, est théoriquement
très sûre, les meilleures pratiques
de sécurité actuelles obligent à
utiliser des couches de sécurité supplémentaires
externes aux applications
et qui peuvent s’ajouter aux bonnes
habitudes de coding.
Téléchargez cette ressource
Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Les risques liés à l’essor fulgurant de l’IA générative
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
