OWASP TOP 10 : Injection SQL ~2023

Aperçu

L'injection SQL est un type de vulnérabilité qui peut permettre à des attaquants d'injecter du code SQL malveillant dans la base de données backend d'une application web, leur donnant potentiellement accès à des données sensibles ou même le contrôle du système entier.

Programme

• Introduction à l'injection SQL
Définition et aperçu de l'injection SQL
Importance de comprendre les vulnérabilités de l'injection SQL
• Comprendre l'OWASP Top 10
Aperçu des 10 principaux risques de sécurité OWASP
Où se situe l'injection SQL dans les 10 principaux risques OWASP
• Comment fonctionne l'injection SQL
Commandes et structure SQL de base
Types d'injection SQL (In-band, Inférentielle, Hors bande)
Vulnérabilités courantes exploitées dans les attaques d'injection SQL
• Identifier les vulnérabilités d'injection SQL
Techniques pour découvrir les points d'injection SQL
Outils et méthodes pour tester les applications web
Signatures et symptômes des attaques d'injection SQL
• Vecteurs d'attaque et techniques d'exploitation
Injection SQL basée sur l'union
Injection SQL basée sur les erreurs
Injection SQL aveugle (basée sur les booléens et le temps)
Exploitation de différents systèmes de gestion de bases de données (MySQL, PostgreSQL, SQL Server, Oracle)
• Impacts de l'injection SQL
Exfiltration de données et accès non autorisé aux données
Manipulation et altération des bases de données
Potentiel de compromission complète du système
• Stratégies de mitigation et de prévention
Validation des entrées et requêtes paramétrées
Rôle des ORM et procédures stockées
Utilisation de pare-feu d'applications web (WAF)
Bonnes pratiques pour un codage sécurisé afin de prévenir l'injection SQL
• Mesures de protection avancées
Patches de sécurité et renforcement des bases de données
Mise en œuvre de contrôles d'accès au privilège minimal
Tests et audits de sécurité continus
• Études de cas et exemples concrets
Analyse d'incidents d'injection SQL notables
Leçons tirées des vulnérabilités passées
• Exercices pratiques en laboratoire
Mise en place d'un environnement sûr pour pratiquer l'injection SQL
Exercices pratiques sur l'identification et l'exploitation des vulnérabilités
Application des pratiques de codage défensif dans des scénarios de laboratoire
• Évaluation finale et révision
Révision des concepts et techniques clés
Examen final pour évaluer la compréhension de l'injection SQL et des méthodes de prévention
• Achèvement du cours et prochaines étapes
Ressources pour poursuivre l'apprentissage et la certification
Introduction à des sujets plus larges de sécurité des applications web

Enseigné par

Foyzul Islam

Sujets

Sécurité de l'information (InfoSec)