La faille SQLi, abréviation de SQL Injection, soit injection SQL en français, est un groupe de méthodes d'exploitation de faille de sécurité d'une application interagissant avec une base de données. Elle permet d'injecter dans la requête SQL en cours un morceau de requête non prévu par le système et pouvant en compromettre la sécurité. Plus d'info: https://www.hacksplaining.com/exercises/sql-injection
Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. Le but est de comprendre le principe de l'attaque afin de mettre en place la sécurité adequat.
Mario-no est un site E-commerce spécialisé dans la vente de parfum. Une cliente a informé le service support d'une usurpation d'identitée. Elle fait appel a votre entreprise spécialisée dans la sécurité informatique et plus spécifiquement dans les attaques présentes dans le Top Ten de l'OWASP. Vous êtes le consultant qui a été choisi pour trouver la faille et produire un exemple d'attaque pour faire une démonstration au client, puis proposer mettre des protections en place pour que le problème ne se reproduise pas.
Installer la solution en local sur votre poste (pensez à récupérer le script de bdd)
Trouver une faille dans le site puis essayez de trouver une facon d'injecter du code malvaillant. L'objectif: Vous devez rediriger tous les utilisateurs sur https://www.lyceefulbert.fr/ .
Sécuriser le site en proposant mettant en place un correctif pérenne dans le temps.