Réalisé par: Litayem Bechir

1

Sécurité des bases dedonnées

2

01Introduction

02Sécuritédes BD

03SQL injection

04Préventions

05Conclusion

Plan:

Introduction

3

1

Introduction

Problématique

Solution proposée

Introduction

4

345M i l l i o n s d e c l i e nt s

Données perdues ou volées depuis 2005Privacy right clearing house(2010)

4

Problématique

5

130 millions de cartes de crédit volé en 2010 au

États-Unis .

130M i l l i o n s

C re d i t c a rd

ProblématiqueEn juillet 2012, Yahoo rapporte le vol de données de plus de 450 000 clients

6

7

Solution Proposée

Sécurité des bases de données

Inférence et audite des BD

Plan:

8

Contrôle d'accès

Sécurité en rangée

2

Vulnérabilité des BD

Sécurité des bases de données

Évaluation de l'accès aux

applications

Contrôle d'accès(Access Control)

9

● Authentification● Autorisation ● Contrôle d'accès

● Limiter l'accès aux objets(rôle/utilisateur)● Grant/revoke

Sécurité en rangée(Row level security)

10

● La sécurité au niveau de la lignede chaque table

●la BD renvoie seulement les enregistrements que l'utilisateur a le droit d'afficher

Évaluation de l'accès aux applications(Application access assessment)

11

● 99% des utilisateurs accèdent à la BD via un CRUD

● la matrice de sécurité

● simple, mais efficace

Vulnérabilité des BD

12

● Phénomène croissant

● De plus en plus de bases de données sont rendues accessibles

● Objectif : réduire les vulnérabilité

Inférence des BD

13

●Pas d’accès à des données individuelles

●Possibilité de génération des données

Audite

14

● Suivre l'accès aux bases de données et l'activité des utilisateurs

● Suivi des tentatives d'accès ( DCL)

● Manipulation de données (DML)

● Fichiers journaux

Plan:

SQL injection

15

Introduction

Principes

3

Implémentation

1616

Simple injection

17

Donnée perdue

18

Donnée

confidentielle

19Donnée changée

20

● chaînes de caractères

● variables numériques

Types d'injections SQL

21

Expressions nécessaires

22

Détection

Pour détecter une Injection SQL, rien de plus simple il suffitd'injecter le symbole « ' » et si une erreur du genre " You havean error in your SQL syntax; " s'affiche, c'est quel'application est vulnérable.

23

Plan:

Préventions

24

Outil de test

4

Comment l'éviter?

N'ayez jamais confiance !Hashage des mots de passe en MD5Utiliser les requêtes préparésUn petit captcha

Éviter d'utilisr le compte 'root' pour la connexion BD

Utiliser Intval() , is_numeric() pour injection numeriqueUtiliser mysql_real_escape_string() d'echapper les quotes

Comment l'éviter?

25

SQLmapSQLninja

Root mepower rank

Outil de test

Plan:

Conclusion

27

0

Conclusion

Étape suivante

5

05

05

Il n'y a pas de système 100 % sécurisé

Mais un système difficile a menacé

Conclusion

28

05

LDAP injection

Server-side Template Injection

SQL injection - file reading

NoSQL injection

Étape suivante

29

• Root me

• HackerRank

• Database Security: What Students Need to Know

“Meg Coffin Murray”

• Openclassrooms

“protegez vous efficacement contreles-failles-web”

“eviter-les-injections-sql”

30