On ne le répétera jamais assez : la validation de tous les paramètres provenant de l’utilisateur est d’une extrême importance ! Dans certains cas on peut se dire que le paramètre en question est utilisé d’une manière « non sensible » et que pour cette raison notre vigilance baisse. Mais c’est une erreur à ne pas faire !
On peut voir toutes sortes de choses en parcourant le web. Parmi ces choses, on peut remarquer que certains sites utilisent le Javascript à des fins de sécurité. Par exemple gérer l’accès à certaines pages. Mais il faut se rendre compte que mettre le code source permettant de gérer certains accès sur le client du hacker n’est pas la bonne approche !
Les protections contre les formes standard d’injection SQL peuvent être facilement contournées suivant la manière dont elles sont implémentées. Valider les entrées utilisateur en restreignant une liste de caractères ne suffit pas ! Dans cet article nous allons voir comment récupérer le mot de passe d’un utilisateur grâce à une Blind SQL Injection.
Continue « Exploitation d’une Blind SQL Injection en python »