Examinons un exemple de problème e-commerce qui peut survenir quand la couche de sécurité la plus élémentaire - c'est-à -dire un code sûr - est déficiente. Les nouvelles possibilités que les services Web, omniprésents aujourd'hui, apportent aux entreprises peuvent aussi accroître la vulnérabilité des données. Les services Web se prêtent à
Nouveaux risques et dangers
merveille à l’interopérabilité
entre systèmes basés sur le Web.
Les sociétés exposent les fonctions
et transactions internes à
d’autres systèmes – internes et
externes. Les développeurs peuvent
exposer des fonctions
comme des services Web de
nombreuses manières différentes,
dont certaines sont
simples mais dangereuses. Par
exemple, les releases Web de
XML for SQL Server 2000
(SQLXML) étoffent les possibilités
intégrées de SQL Server avec
le moyen de créer des services
Web XML à partir des procédures
stockées de SQL Server. Avec
SQLXML, vous pouvez appeler une
procédure stockée nommée, par
exemple, sp_update_company_customers
en utilisant le modèle XML que
montre le listing 1.
Avec ce modèle, construire un service
Web basé sur des procédures stockées
est facile – trop facile. Le développeur
initial a probablement écrit la
procédure stockée sp_update_ company_
customers pour qu’on ne l’utilise
que dans une application base de
données et dans des environnements
contrôlés. Supposons que la procédure
stockée sp_update_ company_
customers utilise le nom de la société
et met à jour tous les clients de celle-ci
en concaténant le nom de la société à
la clause WHERE. Dès lors qu’un développeur
construit un nouveau service
Web autour de cette procédure stockée,
n’importe qui peut appeler
sp_update_company_customers à partir
de n’importe où. Un pirate futé peut
appeler ce service Web et transmettre
une chaîne de requête comme ACME,
avec DROP TABLE customers comme
argument. Résultat : suppression d’une
grande quantité de données et, probablement,
tout le système à genoux.
A l’évidence, les concepteurs de la
procédure stockée décrite et du service
Web devraient avoir soigné davantage
la validation de l’entrée et la mise
en oeuvre d’un contrôle de sécurité
propre à l’application dans la procédure
stockée. En réalité, la plupart des
attaques de systèmes, y compris la
classe de problèmes par débordement
de buffer que les produits Microsoft
comme SQL Server ont subi, tirent
parti des paramètres non vérifiés qui
résultent quand les développeurs
prennent des raccourcis. Donc, même
si une application bien conçue, bien
codée et bien testée, est théoriquement
très sûre, les meilleures pratiques
de sécurité actuelles obligent à
utiliser des couches de sécurité supplémentaires
externes aux applications
et qui peuvent s’ajouter aux bonnes
habitudes de coding.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Architecture de données ouverte : un levier essentiel pour maximiser les bénéfices de l’IA générative
- Les DRH repensent leurs priorités en 4 étapes
- Patch Tuesday Septembre 2024
- L’ambivalence des plateformes d’observabilités : entre similitudes et divergences
- Profils & Rémunérations des responsables cybersécurité
