logo ORSYS Le mag

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > Injection 🔴 Attaque

Injection 🔴 Attaque

Une injection est une technique utilisée par les cybercriminels pour insérer du code malveillant dans un système informatique.

 

Ce code, une fois exécuté, peut permettre à l’attaquant de :

  • Voler des données sensibles : informations personnelles, financières, etc.
  • Prendre le contrôle du système : pour l’utiliser à des fins malveillantes (par exemple, pour lancer des attaques contre d’autres systèmes).
  • Dégrader les services : en rendant un site web ou une application indisponible (attaque par déni de service).

 

Les différents types d’injection

Il existe plusieurs types d’injections, les plus courants étant :

  • Injection SQL : L’attaquant injecte du code SQL malformé dans les champs d’entrée d’un formulaire web pour manipuler la base de données.
  • Injection de commandes : l’attaquant injecte des commandes système directement dans une application, lui permettant d’exécuter des commandes sur le système hôte.
  • Injection XSS (Cross-Site Scripting) : l’attaquant injecte du code JavaScript dans un site web pour voler des cookies ou rediriger les utilisateurs vers des sites malveillants.
  • Injection de fichiers : l’attaquant télécharge des fichiers malveillants sur un serveur, en profitant de vulnérabilités dans les mécanismes de téléchargement.

 

💉 Comment se protéger contre les injections ?

Pour se protéger contre les attaques par injection, il est essentiel de mettre en œuvre les mesures de sécurité suivantes :

  • Validation et filtrage des entrées : vérifier et nettoyer toutes les données entrées par l’utilisateur avant de les traiter.
  • Utilisation de paramètres préparés : pour les requêtes SQL, utiliser des paramètres préparés pour éviter l’injection de code SQL.
  • Encodage des données : encoder les données avant de les afficher dans une page web pour prévenir les attaques XSS.
  • Mise à jour régulière des logiciels : les développeurs publient régulièrement des correctifs de sécurité pour combler les vulnérabilités.
  • Formation des utilisateurs : sensibiliser les utilisateurs aux risques liés aux attaques par injection et les inciter à adopter des pratiques de navigation sécurisées.
Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité