Injection SQL : l’aéroport de Tahiti vulnérable

Je me permets d’écrire ce billet, parce que le site de l’aéroport est réparé.

Nous allons donc parler de l’injection SQL : à quoi ça sert et comment ça marche.

Avant de commencer, je tiens à rappeler que le but de cet article n’est pas de vous donner envie d’entrer sur des sites. Mais plutôt de vous permettre de vérifier le votre et aussi d’augmenter vos connaissances informatiques.

L’injection SQL est une faille de sécurité permettant d’écrire du code SQL (code de base de données) dans un champ texte d’un site. Je vous recommande d’aller voir la page Wikipédia sur le sujet, ainsi que celle sur les bases de données pour ceux qui ne connaissent pas.

Pour faire simple, l’utilité de ce genre d’attaque est de récupérer des données de la base.

Très souvent les sites vérifient les login et mot de passe ainsi : on récupère le nom d’utilisateur et le mot de passe dans le formulaire (via les champs à renseigner). Ensuite, on demande à la base de données de renvoyer l’identifiant de la personne ayant le nom d’utilisateur et le mot de passe renseigné.

Dans le cas d’une injection SQL, on modifie la requête ce qui permet d’avoir une connexion sur le site sans connaitre l’identifiant et le mot de passe d’un utilisateur. C’est le problème qu’avait le site de l’aéroport de Tahiti. Via cette attaque, on pouvait rentrer en tant qu’administrateur sur le site.

Pour vérifier si un site est sensible à cette attaque, il suffit de taper dans un champ la commande suivante ‘OR 1=1 ‘#. Si l’application ne vous renvoie pas une page 404, mais plutôt plein de trucs bizarres à l’écran, c’est que le site n’est pas sécurisé contre cette attaque.
Si vous tapez le code donné ci-dessus dans un formulaire de connexion, vous pourrez entrer tranquillement sur le site. Habituellement, la base de données renvoie les identifiants de la première personne renvoyée par la base, qui est très souvent l’administrateur du site. Aussi sans connaitre de mot de passe, ni l’identifiant, vous voila administrateur du site.