Les failles dites SQL sont également « injections SQL » permettent à un attaquant d’avoir accès aux informations stockés dans votre base de donnés.
L’attaque se déroule comme pour une faille dite XSS en jouant sur les syntaxes envoyés. Si le webmaster n’a pas correctement rédigé et sécurisé sont code certain indice laisse penser à une faille SQL. Tout comme pour les failles XSS il existe beaucoup de possibilités d’exploitation aussi l’outil SQLMAP permet de scanner de manière complète une URL afin de découvrir des failles SQL potentielles.
Je présente l’outil pour une utilisation simple afin de tester la sécurité des codes développés et non pas dans un but de promotion du piratage. sqlmap -h vous retournera toutes les options disponibles pour cet outil.
ici on va scanner une url simple afin de déterminer si faille présente ou non. Utilisez l’exemple de commande ci-dessous.
On constate sur le rapport ci-dessous qu’aucune faille n’est exploitable sur l’URL fournit.