Sécurité des bases de données
-
Upload
litayem-bechir -
Category
Software
-
view
316 -
download
3
Transcript of Sécurité des bases de données
Réalisé par: Litayem Bechir
1
Sécurité des bases dedonnées
2
01Introduction
02Sécuritédes BD
03SQL injection
04Préventions
05Conclusion
Plan:
Introduction
3
1
Introduction
Problématique
Solution proposée
Introduction
4
345M i l l i o n s d e c l i e nt s
Données perdues ou volées depuis 2005Privacy right clearing house(2010)
4
Problématique
5
130 millions de cartes de crédit volé en 2010 au
États-Unis .
130M i l l i o n s
C re d i t c a rd
ProblématiqueEn juillet 2012, Yahoo rapporte le vol de données de plus de 450 000 clients
6
7
Solution Proposée
Sécurité des bases de données
Inférence et audite des BD
Plan:
8
Contrôle d'accès
Sécurité en rangée
2
Vulnérabilité des BD
Sécurité des bases de données
Évaluation de l'accès aux
applications
Contrôle d'accès(Access Control)
9
● Authentification● Autorisation ● Contrôle d'accès
● Limiter l'accès aux objets(rôle/utilisateur)● Grant/revoke
Sécurité en rangée(Row level security)
10
● La sécurité au niveau de la lignede chaque table
●la BD renvoie seulement les enregistrements que l'utilisateur a le droit d'afficher
Évaluation de l'accès aux applications(Application access assessment)
11
● 99% des utilisateurs accèdent à la BD via un CRUD
● la matrice de sécurité
● simple, mais efficace
Vulnérabilité des BD
12
● Phénomène croissant
● De plus en plus de bases de données sont rendues accessibles
● Objectif : réduire les vulnérabilité
Inférence des BD
13
●Pas d’accès à des données individuelles
●Possibilité de génération des données
Audite
14
● Suivre l'accès aux bases de données et l'activité des utilisateurs
● Suivi des tentatives d'accès ( DCL)
● Manipulation de données (DML)
● Fichiers journaux
Plan:
SQL injection
15
Introduction
Principes
3
Implémentation
1616
Simple injection
17
Donnée perdue
18
Donnée
confidentielle
19Donnée changée
20
● chaînes de caractères
● variables numériques
Types d'injections SQL
21
Expressions nécessaires
22
Détection
Pour détecter une Injection SQL, rien de plus simple il suffitd'injecter le symbole « ' » et si une erreur du genre " You havean error in your SQL syntax; " s'affiche, c'est quel'application est vulnérable.
23
Plan:
Préventions
24
Outil de test
4
Comment l'éviter?
N'ayez jamais confiance !Hashage des mots de passe en MD5Utiliser les requêtes préparésUn petit captcha
Éviter d'utilisr le compte 'root' pour la connexion BD
Utiliser Intval() , is_numeric() pour injection numeriqueUtiliser mysql_real_escape_string() d'echapper les quotes
Comment l'éviter?
25
SQLmapSQLninja
Root mepower rank
Outil de test
Plan:
Conclusion
27
0
Conclusion
Étape suivante
5
05
05
Il n'y a pas de système 100 % sécurisé
Mais un système difficile a menacé
Conclusion
28
05
LDAP injection
Server-side Template Injection
SQL injection - file reading
NoSQL injection
Étape suivante
29
• Root me
• HackerRank
• Database Security: What Students Need to Know
“Meg Coffin Murray”
• Openclassrooms
“protegez vous efficacement contreles-failles-web”
“eviter-les-injections-sql”
30