Injections SQL : Attaques au cœur de votre site

Tobias Schüring Mis à jour le 15.01.2020
6 Min.
Injections SQL

En outre, Brute Force Attaques redive WordPress Injections SQL sur la liste des plus grandes menaces pour les WordPress sites. Il s'agit de manipulations relativement simples à la base de données de vos sites. Les pirates peuvent accéder à des données sensibles ou créer leurs propres comptes d'administration et manipuler votre site à volonté. Nous montrons comment l'attaque fonctionne et pourquoi elle est si dangereuse.

Mars 2008 : Hacker (y compris, d'ailleurs, un véritable chef d'orchestre) mettre la main sur 134 millions de données de cartes de crédit au groupe américain Heartland Payment Systems. Mi-2016 : les pirates informatiques russes vont probablement mettre la main dessus Accès à la base de données des électeurs inscrits de la commission électorale de l'État de l'Illinois. Quelque chose de similaire se produit en Arizona. Février 2017 : Le trafiquant d'armes américain Airsoft GI sera Données volées à 65 000 comptes d'utilisateurs. Mars 2017 : des pirates informatiques chinois présumés s'emparent des données personnelles de 4 000 clients d'une application coréenne et envoient des SMS partiellement obscènes aux victimes.

Toutes ces attaques ont une chose en commun : derrière elles se cache un piratage relativement simple appelé injection SQL. Dans cette attaque, les pirates accèdent à la base de données et donc à toutes les données utilisateur d'une page. En fait, les injections SQL sont donc considérées comme l'un des plus grands dangers pour les opérateurs de sites web. Aussi et surtout pour les webmasters qui travaillent principalement avecWordPress .

Et comme les magasins plus grands et plus complexes, en WooCommerceparticulier, ont pu WordPress fonctionner sans problème, il est important de comprendre, le niveau de risque d'une injection WordPress SQL est et comment cette travail.

Les injections WordPress SQL sont-elles "dangereuses" ?

La question du "danger" d'une WordPress -hack ne peut pas être répondu en termes d'un seul indicateur. Au lieu de cela, il faut considérer au moins deux aspects : L'une est la probabilité de réussite du piratage... WordPress -WordPress -Les projets de l'UE peuvent être victimes d'une telle attaque, tout comme les dommages qu'un piratage informatique peut causer.

Sur Brute Force Attaques Par exemple, le nombre d'attaques par mois est si élevé (en partie plus d'un milliard d'attaques mesurées + le nombre estimé d'attaques non signalées) que l'on peut dire que chaque WordPress -WordPress -projets tôt ou tard est la cible d'une telle attaque. Les dommages qui peuvent être causés par un piratage réussi sont multiples. La plupart Brute Force des attaques sont également utilisées pour détourner des sites web et les intégrer dans un réseau de zombies. Scénario intersites d'autre part, se produit beaucoup moins fréquemment, mais est principalement utilisé pour créer des sites web avec Infecter un code malveillant.

L'organisation à but non lucratif Open Web Application Security Project (OWASP) publie régulièrement une liste des 10 plus grands risques de sécurité pour les applications web. Et les SQL-Injections occupent ici en permanence la première place, également sur le (bien que provisoire) Liste pour 2017.

Vous pouvez voir un graphique de la liste des 10 plus grands risques de sécurité pour les applications Web, qui est régulièrement publiée par l'organisation à but non lucratif OWASP. Les injections SQL occupent ici la première place.
L'organisation à but non lucratif OWASP publie régulièrement une liste des 10 plus grands risques de sécurité pour les applications Web. Les injections de SQL occupent régulièrement la première place ici.

En fait, les injections de SQL ont été abandonnées. Le piratage est connu depuis plus de 15 ans. Et selon le rapport d'Akamai sur l'état de la sécurité de l'Internet pour 2017 la fréquence des attaques SQL a augmenté de 28 % depuis le premier trimestre 2016. Au premier trimestre 2017, les injections SQL ont été les hacks les plus fréquemment effectués, représentant 44 % des attaques. 

Il est illustré ici qu'au premier trimestre 2017, l'injection SQL est le piratage le plus fréquemment effectué, avec 44% des attaques.
Selon le rapport 2017 d'Akamai sur l'état de la sécurité sur Internet, l'injection SQL a été le piratage le plus fréquemment effectué au cours du premier trimestre 2017, avec 44 % des attaques.

Wordfence, Producteur d'un logiciel de sécurité pour WordPress arrive à la conclusion que les injections SQL sont spécifiquement destinées WordPress -Les utilisateurs représentent un grand danger. A L'analyse de près de 1 600 vulnérabilités de sécurité dans Pluginsqui ont été rapportés sur une période de 14 mois, montre clairement que les injections SQL sont le deuxième risque de sécurité le plus courant pour les WordPress pages.

Le graphique montre clairement que les injections SQL sont le deuxième risque de sécurité le plus courant pour les WordPress pages.
Le graphique montre que les injections SQL sont le deuxième risque de sécurité le plus courant pour les WordPress pages.

Avec tous ces chiffres, vous devez garder à l'esprit que le nombre de cas non signalés est beaucoup plus élevé - souvent, les attaques SQL ne sont pas du tout remarquées et n'apparaissent dans aucune statistique.

Les chiffres montrent que les injections WordPress SQL sont effectuées selon Brute Force Attaques et Lacunes du XSS sont l'un des types d'attaques les plus courants. Les injections SQL ciblent également une zone particulièrement sensible de votre site : votre base de données. Ces piratages constituent une menace existentielle, en particulier pour les exploitants de magasins. Il est donc important de comprendre comment ils fonctionnent et ce que vous pouvez faire à ce sujet.

WordPress Les injections SQL visent le cœur de votre site : la base de données

Pour comprendre comment fonctionne une injection SQL, vous devez en comprendre la structure de WordPress base. Si vous le savez déjà, vous pouvez passez cette section en toute confiance.

La base de données est la base de toute WordPress installation : tous les contenus sont stockés ici. Le CMS lui-même permet ensuite d'afficher et de modifier ce contenu. Il s'WordPress agit d'une base de données MySQL. SQL signifie Structured Query Language, un langage de programmation complet qui peut être utilisé pour créer des structures dans une base de données et pour insérer, modifier et supprimer des données.

Chaque fois que vous écrivez un article, créez une nouvelle catégorie, changez votre mot de passe ou même lorsque vos utilisateurs rédigent un commentaire, ces nouvelles données sont stockées dans la base de données. Voici donc chaque contenu de votre site web.

WordPress chaque fois qu'un utilisateur visite votre site et demande un certain contenu, il extrait les données appropriées de la base de données, les fusionne avec PHP et crée un document HTML qui est finalement envoyé au navigateur de l'utilisateur. L'utilisateur ne remarque rien de tous les processus qui se déroulent jusque-là.

Les injections SQL injectent un code externe dans la base de données

Même si vous n'interagissez jamais directement avec la base de données, mais seulement avec le WordPress backend : la base de données est le cœur de votre site web.

Mais comme je l'ai dit, les utilisateurs peuvent également entrer des données dans la base de données. Rédiger un commentaire, créer un compte utilisateur, remplir et envoyer un formulaire de contact - toutes ces actions génèrent des données qui sont stockées dans la base de données.

Mais que se passe-t-il si quelqu'un utilise cet accès indirect à votre base de données pour y introduire clandestinement un code malveillant ? C'est ce qu'on appelle une injection SQL.

L'idée qui se cache derrière n'est même pas particulièrement compliquée : Si aucune mesure de sécurité n'est mise en place, le pirate doit seulement entrer du code SQL dans un champ de formulaire (par exemple, lors de la rédaction d'un commentaire). Il contient des caractères qui ont une fonction spéciale pour l'interpréteur SQL, qui est responsable de l'exécution des commandes SQL dans la base de données. Ces caractères spéciaux, appelés métacaractères, sont par exemple : " ' et \.

Le CMS estime que les données sont inoffensives et transmet l'entrée à la base de données avec l'ordre de la sauvegarder, comme d'habitude. L'interpréteur SQL reconnaît le code au moyen des méta-caractères comme une demande d'action et exécute la commande de la base de données.

D'ailleurs, il en va de même pour les injections SQL que pour les Brute Forceattaques : il n'y a pratiquement jamais de hacker assis seul devant l'ordinateur et qui entre manuellement des codes dans des formulaires. Ces attaques sont également menées par des réseaux de zombies automatisés, qui scannent simultanément des milliers de sites web à la recherche de points faibles et frappent là où ils en trouvent un.

Que peut-il se passer maintenant ?

  • Le pirate contourne tout mécanisme d'authentification ou se cache derrière l'identité d'un utilisateur existant pour obtenir l'accès. Par exemple, si un pirate informatique crée un nouveau compte d'administration, on parle aussi d'un Exploitation de l'escalade des privilèges.
  • Il peut ainsi espionner, modifier ou supprimer des données. Cela est particulièrement important si vous gérez une boutique en ligne et disposez des données de paiement de vos clients.
  • Il peut prendre le contrôle de l'ensemble de votre site web et de votre espace web, par exemple en se connectant en tant qu'administrateur et en accédant à votre backend. Ainsi, un pirate informatique a le contrôle total de votre site et peut l'utiliser comme filateur de spam, introduire un code malveillant ou l'insérer dans un botnet.

Conclusion : les injections WordPress SQL sont très dangereuses en raison de l'automatisation

WordPress Les injections SQL sont parmi les hacks les plus dangereux de tous. Elles sont faciles à réaliser, la plupart du temps automatisées et peuvent causer des dégâts considérables : Le danger des injections SQL est particulièrement important pour les propriétaires de magasins.

Il est donc important de protéger votre site en conséquence : Les données saisies par l'utilisateur doivent être vérifiées et nettoyées. Vous devez également masquer les données afin d'empêcher l'exécution de codes malveillants. Ce processus est appelé "assainissement et validation des données" et est utilisé, par exemple, dans WordPress Codex en détail. Dans l'un des articles suivants, nous allons toutefois approfondir le sujet et vous montrer comment vous pouvez empêcher les codes malveillants de s'activer dans votre base de données.

Une sécuritéPlugins complète est également d'une aide fondamentale dans ce domaine : ils sont particulièrement capables de bloquer les attaques automatisées sur vos pages, qui sont à la base de nombreux piratages.

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve tous les moyens possibles pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, il est souvent Slack retrouvé la nuit.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .