|
Ce type d'attaque découle de l'existence de failles dans les serveurs et les applications, telles que les vulnérabilités de Cross Site Scripting. Elle consiste à injecter du code afin de détourner l'utilisation normale d'un programme dans le but d'exécuter un code ou une commande arbitraire.
L'injection de code dans une application ou un serveur Web pourrait par exemple permettre d'effectuer une redirection automatique vers un autre site, et notamment un site de phishing. L'interaction d'un site Internet avec un internaute autorise celui-ci, en cas de malveillance, à traquer des vulnérabilités en vue d'exécuter une commande arbitraire.
Cette méthode peut prendre de multiples formes : injection SQL pour entrer des instructions dans le but d'effectuer des requêtes directement sur la base de données, LDAP pour modifier le contenu d'un annuaire, XPath injection afin d'extraire un document XML et ainsi pouvoir dans certaines configurations, accéder à une base de données et des fichiers sensibles.
Le Web 2.0 et les nouveaux usages qu'il introduit génèrent de nouvelles attaques par injection de code. C'est notamment le cas de l'injection de JavaScript dans des flux RSS et Atom pour exécuter du code malveillant côté client.
|
|
