Les failles les plus dangereuses sur une application web: XSS, CSRF, SQL injection, CORS (épisode 4/4)
Concevoir une plateforme web ou un service en SaaS nécessite de prendre en considération la sécurité de celui-ci en profondeur. Sans cet effort, l'ensemble des données, souvent stratégiques, peut être exposées par une simple vulnérabilité.
Quatre épisodes pour comprendre les failles de sécurité les plus dangereuses d'un projet SaaS
SQL injection
Les injections SQL sont les plus failles les plus présentes sur les projets web d'après OWASP. Il s'agit du plus important risque. Cette faille permet généralement aux cyber-criminels d'accéder à l'ensemble des données d'un site, de les modifier ou de les supprimer. Imaginons un formulaire simple permettant aux internautes de s'abonner à votre newsletter. Un internaute légitime va soumettre son email qui sera sauvée en base de données. Un cyber-criminel tentera à la place de soumettre des données basées sur du code SQL. Au moment du stockage en base, ce code sera exécuté par votre serveur. Si votre plateforme possède un défaut de traitement, le cyber-criminel pourra réaliser ce qu'il souhaite sur vos données, les ex-filtrer, les modifier ou les supprimer.
Comment éviter les failles SQL injection ?
Les développeurs doivent absolument traiter les données reçues par les internautes. Dans le cas des requêtes SQL, les données doivent être dépouillées de tout code SQL malveillants. Ceci permettra d'éviter les fuites de données massives.