Résumé : Roberto Salgado devrait bientôt présenter de nouvelles techniques permettant aux attaques par injections SQL de contourner plus facilement les solutions de filtrage Web, mais également d’optimiser les attaques par injections SQL à l’aveugle en gagnant vingt à quarante pourcents du temps nécessaire à l'extraction d’une base.
Les attaques par injections SQL sont réputées pour être parmi les plus prisées quand elles sont possibles lors d'un audit de sécurité, de par leur efficacité notamment, mais souvent également de par leur simplicité de mise en œuvre face à des exploitations classiques. Ces attaques pourraient aujourd’hui voir cette efficacité encore un peu plus renforcée par de « nouvelles » techniques qui seront présentées par Roberto Salgado lors de la prochaine édition 2013 de la conférence Black Hat USA.
Ces techniques sont en effet censées complexifier encore un peu plus les opérations de détection menées à l’encontre des attaques par injections SQL, tout en accélérant le processus d’extraction des données depuis une base à l’aide des attaques par injections SQL dites à l’aveugle (Blind SQL Injection). Fondateur de Websec, Roberto Salgado présentera donc lors de cette conférence les résultats de ses recherches sur l’obfuscation et l’optimisation de différents types d'attaques par injections SQL.
Concernant la partie obfuscation de ces attaques, le chercheur a affiné des techniques qui tirent avantage de la manière contradictoire avec laquelle les bases de données gèrent certains caractères spécifiques et notamment par rapport aux traitements réservés à ces mêmes caractères au sein des applications et des solutions de filtrage Web qui sont censées protéger ces dernières. Ces techniques à venir devraient donc permettre aux injections SQL d’être indétectables par ces solutions en l'état.
Par ailleurs, s’il reconnaît que ces techniques d’obfuscation vont certainement intéresser les professionnels, il avoue également que ses techniques d’injections SQL à l’aveugle pourraient s’avéraient encore plus utiles de par le fait qu’elles permettent d’acheminer les données extraites beaucoup plus rapidement et avec un nombre considérablement réduit de requêtes effectuées, permettant ainsi de réduire encore plus considérablement les risques de détection dans le temps de ces attaques.
L’inconvénient habituel de ces attaques étant que leur initiateur ne peut extraire qu’un seul caractère à la fois, Roberto Salgado assure qu’avec cette nouvelle méthode à venir, il sera possible pour les attaquants d’extraire les informations d’une base de données de vingt à quarante pourcents plus rapidement qu’avec les techniques traditionnelles d’optimisation de ce type d’attaques à l’aveugle, notamment en réduisant le nombre de tests nécessaires à la mise en oeuvre d'une attaque réussie.
Source :
« New Techniques Obfuscate, Optimize SQL Injection Attacks » sur « Dark Reading All Stories » (
lien )
