SQL Injection (SQLI)

Résumé – L’injection SQL est une vulnérabilité web dans laquelle les attaquants manipulent les données d’entrée pour insérer des requêtes SQL malveillantes dans les instructions de requête de la base de données d’une application web, ce qui leur permet potentiellement d’afficher, de modifier ou de supprimer des données dans la base de données. Cela peut entraîner un accès non autorisé à des informations sensibles, des violations de données, voire la compromission complète du backend de l’application.

Objectif(s) :

• Extraire des données sensibles de la base de données de l’application, telles que les informations d’identification de l’utilisateur ou les données financières.
• Manipuler les mécanismes d’authentification de l’application pour obtenir un accès non autorisé à des comptes d’utilisateurs ou à des zones restreintes.
• Modifier, supprimer ou insérer des données non autorisées dans la base de données, ce qui entraîne une corruption des données ou des changements non autorisés.
• Détourner les sessions des utilisateurs en altérant les identifiants de session, ce qui permet aux attaquants de se faire passer pour des utilisateurs légitimes
• Surcharger le serveur de base de données avec des requêtes gourmandes en ressources, ce qui entraîne un déni de service.
• Exécuter un code arbitraire sur le serveur, ce qui permet de prendre le contrôle total de l’application et de l’infrastructure.
• Exposer les vulnérabilités ou les informations propriétaires stockées dans la base de données, qui peuvent être exploitées pour obtenir un avantage concurrentiel ou pour mener d’autres attaques.
• Injecter des données malveillantes ou des charges utiles de logiciels malveillants dans la base de données, ce qui peut nuire aux utilisateurs ou à l’application.