Injection SQL : le chemin le plus rapide pour hacker un site web

décembre 2005 »
lun	mar	mer	jeu	ven	sam	dim
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

Par netking, dimanche 18 décembre 2005 à 00:59 :: Devzone :: Permalink

Quand un serveur web n'a que le port 80 d'ouvert (ce qui est généralement le cas sur tout site "sérieux"), vous n'obtiendrez rien de vos logiciels de recherche de failles. De plus, vous pouvez être sûr que l'admin patche correctement son système : les mises à jour sont automatisées de nos jours. Pour obtenir des informations, il ne reste alors plus que le web-hacking. L'injection SQL est une forme de web-hacking qui ne nécessite que le port 80 et peut marcher dans quasiment tous les cas en cherchant bien. Ces attaques concernent la base de données et le language applicatif (PHP, ASP, CGI...), pas le système ou le serveur web. Leur objet est le plus souvent de récupérer des données (mots de passe, emails) ou de modifier celles-ci (rendre le site inutilisable).

L'injection SQL consiste à envoyer des commandes non-autorisées au serveur par le biais de d'entrées utilisateur dans les pages web (formulaires). De nombreuses pages demandent des informations à l'utilisateur et exécutent des requêtes dans la base de données. Par exemple, quand vous entrez votre login et votre mot de passe pour accéder à un forum, le résultat de la publication du formulaire de saisie est d'interroger la base de donnée pour vérifier la validité de vos identifiants. Avec l'injection SQL, vous pouvez utiliser ces champs pour envoyer des commandes spécifiques à la base pour obtenir un résultat que vous avez choisi (afficher la liste des mots de passe par exemple).

Pour réaliser des injections SQL, vous n'avez besoin que d'un seul logiciel : un navigateur web. Cependant, attention à l'endroit d'où vous effectuez ces essais : ceux-ci seront loggés par le serveur, et l'utilisation d'un proxy est fortement recommandée.

Essayez de cherche des pages qui vous permettent de soumettre des données (page de login, page de recherche, formulaire de contact, etc.). Parfois, les pages HTML (statiques) utilisent la commande POST pour envoyer des paramètres à une page dynamique (PHP). Vous ne verrez pas de paramètres dans l'url, mais vous pouvez regarder le code source et chercher le tag "FORM ". Vous risquez de trouver ce type de code :

<FORM action=Recherche/recherche.php method=post>
<input type=hidden name=A value=C>
</FORM>

Tout ce qui se trouve entre les balises <FORM> et </FORM> recèle des paramètres qui sont potentiellement exploitables.

Si vous ne trouvez pas de page qui font appel à des entrées utilisateurs, essayez les pages qui passent des paramètres comme :

http://www.webinterdit.com/index.asp?id=7
(pas la peine d'essayer chez nous, nous avons des protections en place...)

Pour tester une éventuelle vulnérabilité, commencez par essayer le guillemet simple.

Entrez quelque chose comme :

hi' or 1=1--

dans la case login, ou password, ou même dans l'URL. Par exemple :
Login : hi' or 1=1--
Mot de passe : hi' or 1=1--
http://www.webinterdit.com/index.asp?id=hi' or 1=1--

Si vous devez impérativement utiliser un champ avec le paramètre HIDDEN, téléchargez le source HTML puis modifiez l'URL et le champ masqué. Par exemple :

<FORM action=http://www.webinterdit.com/recherche/recherche.php method=post>
<input type=hidden name=A value="hi' or 1=1--">
</FORM>

Si vous avez de la chance (et que le webmaster est suicidaire), vous entrerez sans login ni mot de passe.

Pour ceux qui connaissent SQL, il est évident que ce type de commandes est la porte ouverte à la base de données : si on peut exécuter 1=1, on peut tout demander. La puissance du langage SQL n'est plus à démontrer.

Pour éviter l'injection SQL, il suffit de filtrer les caractères utilisés par le langage SQL (slash, guillemets simples et doubles, pipeline, etc.) dès qu'il s'agit :
- D'entrées utilisateurs
- De paramètres d'URL
- Valeur d'un cookie

Cette introduction à l'injection SQL est une approche simplifiée. La somme des techniques utilisables est immense, vous trouverez de nombreuses infos à ce sujet sur le web. Mais si vous testez un peu, vous verrez que de nombreux sites (même les plus grands) sont susceptibles d'être hackés. Personne n'est à l'abri d'un stagiaire qui oublie de protéger ses champs...

J'espère que cet article vous a plu. Vous pouvez maintenant vous rendre sur la homepage pour d'autres articles, vous abonner au flux rss avec votre lecteur favori ou laisser un commentaire ci-dessous.

Je recommande Giganews pour télécharger sur les newsgroups. Lisez cet article pour savoir pourquoi.

:: Envoyer à un ami

Commentaires

1. Le dimanche 18 décembre 2005 à 21:58, par d°0D

Moi j'essaie toujours un petit "test1/test" (1)... on est souvent surpris du résultat !!

(1) Dans le champ login, vous mettez test1 et dans password vous mettez test (ou admin/admin, ou titi/toto...) mais test1/test marchait très bien... vous pouvez aussi vous créer un tel compte sur les sites bidons qui demandent de s'authentifier pour un oui ou pour un non, comme ça quand je passerai dessus, ben ça marchera... =:^D

2. Le mardi 14 février 2006 à 17:04, par dr-brain

si vous pouvez m'envoyer encore plus d'explications

3. Le vendredi 3 mars 2006 à 23:15, par abc

et est ce que l'administrateur c'est qu'on est rentré dans le site?

4. Le samedi 4 mars 2006 à 12:31, par netking

Par les logs du serveur web, oui bien sûr...

5. Le samedi 6 mai 2006 à 21:22, par ?>

;-)))

6. Le mardi 25 juillet 2006 à 22:54, par alex

bonjour,
alors moi mon souci c est que jai un gars qui joue sur un jeu en réseau et qui s amuse
avec ses scripts pour evolué plus vite que tout le monde , c est un personnage détesté par toute la communauté du jeu en + monsieur se permet d insulté proprement une très grande majorité de joueurs de raciste et j en passe
si il y a une pers qui si connais pour récupéré ses accès, son pseudo je l ai mais pas l email de son inscription , je ne veut pas son compte mais juste lui detruire ce qu il a eu grace a la fraude

7. Le samedi 29 juillet 2006 à 23:55, par Anonymous

Pour aprendre le php, le C/C++, le PHP, le HTML... vous pouvez aller sur le site du zéro :

www.siteduzero.com/

100% gratuit ;-)

8. Le jeudi 3 août 2006 à 19:01, par Sniker

Bon, les gènies en herbes, je vous lance un super défi, si vous parvenez a hacker un site de rencontre et le désactivé pour minimun 48 heures, je vous paie le Champagne.
Le site a hacker >>> www.rendez-vous.be
Allez tous au boulot et le premier qui gagne, la bouteille...

9. Le jeudi 3 août 2006 à 19:06, par Sniker001

Je constate que vous êtes des hackeurs en puissance, MDDDDRRRRRRRRRRRR
Je vous mets un défi, essayer de bloquer ce site rendez-vous.be
Et, si vous réussissez ce que je doute fortement, je vous paie le Champagne

10. Le vendredi 11 août 2006 à 20:11, par Sylvain

si vous pouvez hacker ce site :

www.nbaevolution.com

Je vous serais reconnaissant !

11. Le vendredi 25 août 2006 à 15:58, par pol29

moi j'aimerais voir si vous pouvez hacker se site :

www.chat-land.org/

12. Le samedi 26 août 2006 à 23:05, par supercestchouette

Franchement çà fait rire quand meme... enfin bon..

<pseudo> si tous les cons volaient on ne verrait plus le ciel
<calopsfr> ça dépend
<calopsfr> toi t'aurais une bonne vue

...

13. Le samedi 16 septembre 2006 à 23:18, par damien

lu site de mes devoirs -_-" essayer de le hacker pour entrainement modifier les devoir ^^ college-colette.fr/index.... reponder moi sur damien.dubois83@hotmail.fr mici

14. Le lundi 16 octobre 2006 à 14:17, par jo

www.hbgeckos.com/ site qu'on ne peut hacker!!!impossible.

15. Le mercredi 18 octobre 2006 à 18:18, par webstorm

Quelques règles simples pour contrer toutes attaques de ce genre :

1 - Vérifier que l'utilisateur passe bien par votre formulaire (mise en place de traceur en champ caché ds le formulaire)
2 - un premier contrôle des saisies en javascript coté client qui filtre tous les caractères indésirables (javascript, HTML ou autres...)
3 - un deuxième contrôle coté serveur en PHP qui nettoie les données envoyées (Htmlentities par exemple ou à l'aide des expressions régulières)
4- préférer les formulaires en POST plutot que GET
5- Pour une sécurité encore plus poussée il est possible d'utiliser les modules de sécurité sur la configuration du serveur apache

16. Le lundi 20 novembre 2006 à 14:11, par test1

Bonjour,
qu'en est-il c'est magic_quotes_gpc est activée dans php.ini

17. Le mercredi 22 novembre 2006 à 22:57, par bisbiscaillou

Avis à celui qui arrivera à rentrer dans www.damesdispuutbeton.nl/...

Qu'il me previenne !!!!

bisbiscaillou@yahoo.fr

18. Le dimanche 31 décembre 2006 à 00:15, par Martagascos

je compren rien on pouré mexpliker en plus simple

19. Le mercredi 17 janvier 2007 à 19:04, par tony

site de mon prof, je c pa hacké dc bn voila....merci!

htt://perso.orange.fr/chimphys

jaten vo rep!

20. Le jeudi 18 janvier 2007 à 12:35, par Ghost

PUTAIN... on vous apprend comment securisé une injection sql et vous (surtout tony...) veut s'en servir pour faire de la merde... hacker le site de son prof... ça te servira a quoi? montrer que t'es un vrai con?

désolé je m'egare ... veuillez m'excusez pour ce language bestial et primaire mais fallait que ça sorte...

21. Le lundi 26 février 2007 à 15:19, par Killyoh

C'est tellement plus rigolo XD

22. Le mercredi 7 mars 2007 à 16:33, par chaity

qu 'est qu'un sql je comprend rien

23. Le dimanche 11 mars 2007 à 09:07, par doom

Pourquoi tant de haine a vouloir hacké des sites d'informations ou autres !!
je trouve cela lamentable !!

35-29= ??

24. Le lundi 19 mars 2007 à 01:17, par bilou

Avis aux hackers...
J'ai besoin d'aide pour hacker un site qui en vaut la peine et oui parfois ca en vaut la peine.

Un site d'enfoirés d'arnaqueurs qui est le sujet de pas mal de conversations sur le net.

Pourquoi demander ça? Car mon amie a été l'une des victimes et que la justice ne sait rien y faire...

Quequl'un a envie de faire une bonne action? Contactez moi !

25. Le mercredi 28 mars 2007 à 16:56, par wolfmic

pour cela, il te faut des chapeaux vert :P

26. Le dimanche 1 avril 2007 à 15:40, par dsa

jai hakcer runescape mouer pi g 60000000k pour seux ki connaisent le jeux

27. Le mercredi 4 avril 2007 à 13:03, par Max007

est ce que vous voulez hacker des sites avec ces trucs hhhh vraiment ça me fait rire
écouter monsieurs si vous voulez devenir des hackers,apprenez d'abord le C/C++ metriser ces 2 language et vous devez surtout metriser le PHP/ASP et le language SQL.pour hacker un site on doit lire sa source si elle est dispo sur le web.comme PHPBB ou PHPCC ou Xoops ... sont des scriptes utilisé par des sites.telechargez ces sources lisez les et essayez de trouvé des vulnérabilités qui existe biensûr comme les faille XSS ou INCLUDE ou INJECTION SQL ... mais sans que vous soyez fort en programmation c'est impossible.croyez moi la meilleur chose dans la vie c'est quand on trouve une faille sur un system ou dans un script.il y 'en a bcp.comme les Buffer overlows les Buffer overrun ... (depassement de memoire) et n'oubliez pas que HACKER != (CRACHER == pirate) un hacker ne fera jamais du mal à quelqu'um mais il est un psycopath de la sécurité informatique,le hacker aime la detection et la sécurisation des failles informatique c'est tout.et à plus et merci de m'avoir supporté.et rappeler vous de ce nom MAX007 c'est le drapeau du hackers maroccains

28. Le jeudi 3 mai 2007 à 13:58, par Akira37

Salut,
J'ai besion d'aide pour un site.
Le mec qui tient ce site est une crapule il prend des commandes encaisse les cheque mais n'envoi pas les produits.
De plus dans son forum, à chaque fois qu'une personne poste une message un peu degradant pour son entreprise il le vir.
Mais par contre il garde bien tout les message glorieu.
SVP il faut agir plein de personnes se font arnaqués!
J'en suis moi meme victime.
Je fairai bien le hack moi meme mais je suis novice en la matiere donc cela reste tres risqué.
Cordialement benjamin
@ du site www.isathor.fr/

29. Le samedi 9 juin 2007 à 19:22, par vegeta77

akira37 le site ke ta passer a la faille XSS (jai rien di mais fait pas n'importe quoi ...)

30. Le dimanche 24 juin 2007 à 17:49, par Vince666666666

Ca fait 6!!!!
Ouaaaaaaaaais je suis trop fort!!!!

31. Le dimanche 15 juillet 2007 à 17:21, par bouman

Bonjours je suis fait voler mon compte steam par ce site. une replique de steam je sait j'ai etait con d'ecrire mes identification mais gt bourer il etait 6h du mat donc voila ca pe ariver a tt le monde. maintenant pour que cette individu continu a voler des compte a des gens honnette j'aimairerai pourir ca page internet. Bon voila si kelkun est cho pour m'aider pour le faire sinon que quelqu'un le fasse mais je prefere le faire vous comprendrai surement. voila
Le fonctionnement de son site est simple cette page www.stargames.us/tournoi2... recupere les information par method POST
voila on pe visualiser les fichier du site www.stargames.us mais je n'arive po a recupere les fichier .php je pense que c cela qui fo faire bon ben avis au amateur.