Retour au cours

L'OWASP Top 10 expliqué (Failles d'injection)

Maîtrise de la Cybersécurité : de Zéro à Héros

L'OWASP Top 10

L'OWASP (Open Web Application Security Project) Top 10 est un document de sensibilisation standard pour les développeurs et les professionnels de la sécurité, représentant les risques de sécurité les plus critiques pour les applications web.

A03:2021 - Injection

Les failles d'injection (SQL, NoSQL, Commande OS, LDAP) surviennent lorsque des données non validées fournies par l'utilisateur sont envoyées à un interprète dans le cadre d'une commande ou d'une requête.

Injection SQL (SQLi)

  • Vulnérabilité : Un attaquant injecte une syntaxe SQL malveillante dans un champ de saisie (ex : une boîte de connexion) qui est exécutée par la base de données backend.
  • Impact : Vol complet de la base de données, modification non autorisée ou contournement de l'authentification.

Exemple de payload SQLi :

sql ' OR 1=1 --

Si ce payload est utilisé dans un champ d'identifiant, la requête devient :

sql SELECT * FROM users WHERE username='' OR 1=1 --' AND password='...'

Comme 1=1 est toujours vrai, la vérification d'authentification est contournée, permettant à l'attaquant de se connecter en tant que premier utilisateur (souvent l'administrateur).