|
|
 |
Attaques par injection SQL : MSFT se dit hors de cause
Voici une compilation des sources d'information sur ce sujet :
Microsoft décline toute responsabilité dans des attaques de serveurs Web qui ont abouti à la compromission de centaines de milliers de pages Web par injection SQL.
Iconset of weather conditions
49 PNG Icons dedicated for Mobydock?s set of weather conditions or any other similar widget.
Finding SQL Injection with Scrawlr
Scrawlr, developed by the HP Web Security Research, is short for SQL Injector and Crawler. Scrawlr will crawl a website while simultaneously analyzing the parameters of each individual web page for SQL Injection vulnerabilities.
Les injections SQL sont monnaie courante dans les applications Web. Les techniques pour les exploiter sont aussi très nombreuses.
Même si une injection semble échoue en premier lieu, en...
Websense annonce avoir découvert deux attaques par injection massive de code Javascript à l'encontre de multiples sites Web,...
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.5 et 4.4.0; MySQL 4.0.26, 4.1.14 et 5.0.13. Les mises à jour sont fortement recommandées vers ces versions.
7 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
MediaWiki, Merak, MyBloggie, MyBulletinBoard, Online, osCommerce et PHP-Fusion
+ MediaWiki History Database Corruption Vulnerability
http://www.securityfocus.com/bid/15041
+ Merak Mail Server and IceWarp Web Mail Multiple Vulnerabilities
http://www.frsirt.com/bulletins/2186
+ MyBloggie Search.PHP SQL Injection Vulnerability
http://www.securityfocus.com/bid/15017
+ MyBulletinBoard (MyBB) search.php uid Variable SQL Injection
http://www.osvdb.org/displayvuln.phpéosvdb_id=19139
+ Online Dating Software by AEwebworks - aeDating Script <= 4.0 Version Vulnerability
http://www.securityfocus.com/archive/1/412326
+ osCommerce "products_id" Additional Images Module SQL Injection
http://secunia.com/advisories/17082/
+ PHP-Fusion "activate" and "cat_id" Remote SQL Injection Vulnerability
http://www.frsirt.com/bulletins/2225
Que faire avec une injection SQL' Il y a le classique contournement d'identification ou la destruction de tables... Mais on peut en faire bien d'autre, comme :
deviner des noms de colonnes
deviner des noms de table
trouver des noms d'utilisateur
modifier un utilisateur existant
attaquer un mot de passe
créer un utilisateur
envoyer un mot de passe
Heureusement, le même article présente quelques solutions pour se protéger contre ces tentatives.
Microsoft SQL Server 2005 Update Advisor est un outil gratuit de
Microsoft permettant d'analyser vos serveurs SQL 7 et 2000 afin de déterminer si
la mise à jour vers SQL Server 2005 est possible...
L'année 2004 a vu une forte augmentation des attaques perpétrées dans le monde contre des sites et serveurs web.
De nombreux sites Web sont actuellement la cible d'attaque par injection SQL. C'est désormais également le cas du site du d...
acunetix propose une collection complète de tutoriels sur la sécurité PHP et celle des sites Web :
+ Injection SQL
+ XSS (Cross site scripting)
+ CRLF (détournement d'utilisateur)
+ Lecture de dossiers
+ Identifications
+ Google hacking
Une attaque majeure par injection SQL aurait détourné plusieurs dizaines de milliers de sites web à travers le monde, dont de nombreuses vitrines gouvernementales, des sites d'éditeurs connus et d'autres webs de confiance. Leurs visiteurs étaient alors infectés via une série de vulnérabilités connues.
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.5 et 4.4.0; MySQL 4.0.26, 4.1.14 et 5.0.13. Les mises à jour sont fortement recommandées vers ces versions.
12 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
Complete, Cyphor, MediaWiki, PHP Advanced Transfer Manager, PHP-Fusion, phpMyAdmin, phpWebSite, Utopia, versatileBulletinBoard, Xeobook, YaPig et ZeroBlog
+ Complete PHP Counter Input Validation Holes Permit SQL Injection and Cross-Site Scripting Attacks
http://www.SecurityTracker.com/alerts/2005/Oct/1015054.html
+ Cyphor Remote SQL Injection and Cross-Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/2264
+ MediaWiki History Database Corruption Vulnerability
http://www.securityfocus.com/bid/15041
+ PHP Advanced Transfer Manager HTML Upload Vulnerability
http://secunia.com/advisories/17134/
+ PHP-Fusion register.php activate Variable SQL Injection
http://www.osvdb.org/displayvuln.php?osvdb_id=19866
+ phpMyAdmin Local file inclusion 2.6.4-pl1
http://www.securityfocus.com/archive/1/413152
+ phpWebSite Search Module Remote SQL Injection Vulnerability
http://www.frsirt.com/bulletins/2326
+ Utopia News Pro SQL Injection and Cross-Site Scripting Vulnerabilities
http://www.frsirt.com/bulletins/2265
+ versatileBulletinBoard SQL Injection and Cross-Site Scripting Issues
http://www.frsirt.com/bulletins/2314
+ Xeobook Multiple HTML Injection Vulnerabilities
http://www.securityfocus...
L'éditeur vient de publier sous licence open source Apache son outil interne de détection des failles de sites Web : « cross site scripting », injection de code SQL, mauvaise gestion des URL...
Bonjour, je parcoure le web desesperement à la recherche d'une solution, j'ai tout testé :
hébergeur low cost , et aucun ne peut me garantir des hits illimités sql (select, update, insert) sur mes tables sql et je disjoncte, j'ai besoin de plus de... Forum Administration d'un site Web
PHP et MySQL ne font l'objet d'aucune alerte sécurité dans leurs versions courantes :
PHP 5.0.4 et 4.3.11; MySQL 4.0.24 et MySQL 4.1.12. Les mises à jour sont fortement recommandées vers ces versions.
8 alertes de sécurité ont été émises cette semaine, concernant des applications suivantes :
PHPMyCart, PhpPC, PhpStat, PortailPHP, PostNuke, SQL et WordPress
+ PHPMyCart login_aff.php username Variable XSS
http://www.osvdb.org/displayvuln.php?osvdb_id=16759
+ PhpPC PHP Poll Creator Remote File Inclusion Vulnerability
http://www.frsirt.com/bulletins/1295
+ PhpStat "check" Administrative Authentication Bypass Vulnerability
http://www.frsirt.com/bulletins/1307
+ PortailPHP ID Parameter SQL Injection Vulnerability
http://online.securityfocus.com/bid/13708
+ PostNuke Critical SQL Injection and XSS 0.750=>x
http://www.securityfocus.com/archive/1/399201?ref=rss
+ SQL Injection Exploit for myBloggie 2.1.1 - 2.1.2
http://www.securityfocus.com/archive/1/399229?ref=rss
+ WordPress post.php p Variable XSS
http://www.osvdb.org/displayvuln.php?osvdb_id=16702
Sites de l'annuaire
Voici des sites figurant dans notre annuaire (inscription gratuite) :
- SQL CodeS-SourceS
Exemples de scripts SQL pour les bases de données...
Catégorie : Programmation > MySQL
http://www.sqlfr.com/
- Tutoriels linux debian - wifi (aircrack et aircrack-ptw) -
L'équipe d'adsltele et heureuse de vous proposer des tutos et aide sur la sécurité informatique : wifi, aircrack , mode monitor, madwifi , airodump-ng, injection SQL, sécurité réseaux, antenne wifi de type ricoré, chipset compatible atheros... configuration du gestionnaire graphique e17. Nombreux tutorials sur et partage de connaissance pour Débutants et Geeks....
Catégorie : Informatique > Sécurité informatique
http://adsltele.free.fr/
- CV développeur web asp, php, sql, flash
CV de Vincent Suy, développeur web : études, parcours, langage de programmation, expérience, compétences, réalisations....
Catégorie : Emploi > CV
http://www.vincent-suy.com/
- EASY PLAST : Usinage plastique et injection polyuréthane
EASY PLAST est votre spécialiste de l'étude et fabrication pièces plastiques en usinage (Tour numérique, Centre CN, tours traditionnels) et en injection (presse à injecter). La société est situé dans le département du Rhône juste à coté de Lyon....
Catégorie : Produits et services industriels > Découpage moulage usinage
http://www.easyplast.fr/
- Millet Forestier : extrusion soufflage et injection plastique
Millet Forestier, spécialisé dans l'injection des plastiques, thermoplastiques, et l'extrusion soufflage dont le flaconnage. Nous pouvons prendre en charge votre projet depuis la fabrication de l'outillage jusqu'au produit fini : conception, fabrication pièces plastique, decoration, finition, conditionnement. Production propre : vaporisateurs en plastique, flacons plastique, ....
Catégorie : Produits et services industriels > Thermoformage plastique
http://www.millet-forestier.com/
- Rudy Onfroy - 37 Studio
37Studio est mon site personnel dans lequel je présente mes réalisations (Zone Webmasters,...) et mes compétences dans le domaine de l'informatique et plus particulièrement du web. Je présente aussi sur ce site les langages que je maitrise tel que PHP, SQL, XHTML, CSS, JavaScript,....
Catégorie : Internet > Pages personnelles
http://www.37studio.fr/
- BinarySEC, le firewall Web intelligent
BinarySEC développe et commercialise la première protection logicielle intelligente pour sites et applications web, capable d'apprendre le trafic légitime et de rejeter le trafic anormal. BinarySEC fait office de garde du corps du site web. Nos clients : hébergeurs, sites de commerce électronique, grandes entreprises. BinarySEC lutte contre les intrusions, le vol de données, le relais de spams et d'autres attaques fréquentes sur les sites et serveurs Web....
Catégorie : Informatique > Sociétés de sécurité informatique
http://www.binarysec.com/page-fr-homepage.html?
- Ré-actim, conception pièces plastique : moules injection, injection plastique,
Ré-actim, la conception de votre pièce plastique clé en main : design industriel, études et conception moule pour l'injection, injection plastique, finition, soudure ultra sons, marquage et decoration de votre pièce à composante majeure de plastique. Ré-actim une filiaile de 4 industriels de la filière plasturgie...
Catégorie : Produits et services industriels > Thermoformage plastique
http://www.re-actim.com/
- Répertoire des pannes automobiles sur vos véhicules
Liste des pannes récurrentes sur vos automobiles. Recherche de pannes par constructeur automobile. Nombreux articles pour dépanner votre véhicules facilement. Les pannes proposées sont des pannes courantes sur les pannes de votre auto, sorties de différents ateliers professionnels de mécanique automobile. Proposez vos pannes....
Catégorie : Véhicules > Dépannage auto
http://www.panne-automobile.com/
- Outinov Ajc, fabrication de moule et injection plastique Maine et Loire 49
Conception et modélisation de moules en plastique et injection plastique à Villevêque en Maine et Loire 49. Usinage de pièces de précision et réalisation de moules pour injection plastique. Réalisation et usinage de pièces mécaniques de précision. Fabrication, conception et modélisation de moules en plastique pour injection plastique à Villevêque en Maine et Loire 49....
Catégorie : Produits et services industriels > Découpage moulage usinage
http://www.outinov-ajc.fr/
Autres actualités
- Augmentation de 36% des attaques de serveurs web en 2004 ...
- Le top 10 des attaques Web en 2006 ...
Jeremiah Grossman publie le top 10 des attaques réalisées en 2006 sur le Web. Jeremiah a collecté l'ensemble des différentes techniques utilisées, identifiées[...]
- Télécharger et tester Microsoft SQL Server 2008 en RC0 ...
Microsoft vient de mettre à disposition la version finale de la Release Candidate 0 (RC0) de SQL Server 2008 (nom de code Katmai). Cette version de SQL Server 2008 est disponible en 9 langues..[...]
- Nouveauté 2009 : 450 CR-F à injection !
C’est fait ! La 450 CR-F 2009 sera à injection électronique. Honda viens en effet de dévoiler sa prochaine reine du cross. Avec le système à injection, Honda rejoint ses concurrents directs tel que K[...]
- Attaques anti-pub ...
Depuis vendredi, Smart AdServer, une des principales sociétés françaises de gestion de la publicité sur Internet, est victime d’attaques informatiques répétées, entrainant de fortes perturbations sur [...]
- Téléchargez SQL Server 2008 CTP ...
Peu de temps après la sortie de SQL Server 2005, Microsoft prépare déjà son successeur. Il s'agit de SQL server 2008, son nom de code étant Katmai.
Une versi...[...]
- SQL Server 2008 retardé par Microsoft ...
Initialement prévu pour le printemps 2008, SQL Server ne sera finalement pas disponible avant le troisième trimestre de cette année explique Microsoft.[...]
- L’injection pour survivre
Avec l’arrivée des normes anti-pollution Euro 3, on a pu croire, un temps, que la mythique Royal Enfield Bullet allait rejoindre les musées. Il n’en est rien. La marque qui fabrique en Inde, se lance[...]
- Publication des outils de migration vers SQL Server ...
Microsoft vient de publier SQL Server Migration Assistante (SSMA) en version 4.0 pour différentes version de SQL Server (2005 et 2008) ainsi que pour différents SGBD (syst&egra...[...]
- 10 attaques sur les applications Web 2.0 ...
- PHP REST SQL, Web Services pour les nuls ...
- Les serveurs web face aux menaces : IIS deux fois plus vulnérable ? ...
Dans la foulée de son étude sur les codes malicieux sur Internet, Google s'intéresse aux serveurs web qui les diffusent. Les chiffres indiquent une sur-représentation d'IIS, le serveur web de Microsof[...]
- VHD : SQL Server 2008 CTP 4 ...
Pour les curieux, une VHD contenant la CTP 4 de SQL Server 2008 est disponible sur le centre de téléchargement.De quoi tester sans passer par la case déploiement. Microsoft SQL Server 2008 CTP 4 [...]
- SQL Server 2008 Express et Report Builder 2.0 RC1 sont disponibles ...
Microsoft vient de mettre à disposition SQL Server 2008 Express et Report Builder 2.0 en version RC1 (Release Candidate 1). SQL Server 2008 Express contient l’outil Management Studio Ba..[...]
- web - Contrefaçons : eBay répond aux attaques mais reste flou ...
|
|
|
|
