Newsletter Developpez.com

Inscrivez-vous gratuitement au Club pour recevoir
la newsletter hebdomadaire des développeurs et IT pro

Une énorme vague d'injections SQL s'abat sur les sites ASP.NET
Plus d'un million de pages ont été infectées

Le , par Idelways, Expert éminent sénior
Code rouge ! Une infection de masse se propage et cible les sites créés avec la plateforme ASP.Net de Microsoft.

Il s'agit d'après les chercheurs d'Armorize d'une infection par injection SQL similaire à l'épidémie "Lizamoon" survenue il y a quelque mois.

Les attaquants s'arrangent pour incruster du code HTML dans la base de donnée du site. Ce code charge en JavaScript deux sites via des iframes. Les pages cibles malicieuses redirigent vers un kit de malwares qui tente d'exploiter une panoplie de vulnérabilités, en fonction des navigateurs, lecteurs Flash/PDF d'Adobe et plug-in Java.

L'un des sites est localisé aux États-Unis tandis que l'autre se trouve en Russie. L'un des deux répond encore et continue de répandre ses ravages.

L'attaque ne marche donc que dans le cas où l'utilisateur dispose d'une ancienne version d'un navigateur ou plug-in non patchée. Une situation compliquée par le fait que seulement 6 Antivirus sur 43 sont en mesure de détecter la faille à l'heure de l'écriture de ces lignes.

Le code JavaScript en question est obfusqué en une série de codes de caractères, qui sont rassemblés et évalués au moment de l'exécution.

L'attaque se propage via reconnaissance active des moteurs de recherche et cible les utilisateurs de 6 langues particulières, dont le français.

La seule manière pour s’en prémunir consiste à utiliser les solutions NoScript-like. Pour le moment.

Source : site d'Armorize

Et vous ?

Que pensez-vous des détails de cette attaque ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Lyche Lyche - Expert confirmé https://www.developpez.com
le 28/10/2011 à 12:26
Citation Envoyé par lutecefalco  Voir le message
J'ai pas dit qu'un dév SQL était inutile. Je pense juste que là où sa place est justifiée ne représente pas la majorité des boites.

On n'a pas besoin d'un ingénieur motoriste de F1 pour concevoir des méganes ou des 308

Bah de ce que tu me dis dans 99,9% des cas mon métier est inutile, ça sert à rien de faire un corps de métier pour gérer 0,1% des cas. Donc les dev BDD sont inutile puisque leurs utilité n'est absolument pas majoritaire. Donc je vais changer de métier, de vie, de copine tiens tant qu'à faire.
Et puis je vais aller me faire recruter pour faire du web dans une grande boite. De toute façon ils s'en tapent puisque même des personnes qui ne sont pas reconnu comme compétentes dans leur domaines arrivent quand même à travailler dessus.

PS : pourquoi toujours la référence des voitures?

Edit : Pardon, dans 99,99% des projet, c'est pire encore 0,01% d'utilité!
Avatar de lutecefalco lutecefalco - Rédacteur https://www.developpez.com
le 28/10/2011 à 12:30
Bah si les dévs SQL représente 0.01% des développeurs sur le marché, c'est tout bon
Avatar de Louis-Guillaume Morand Louis-Guillaume Morand - Rédacteur https://www.developpez.com
le 28/10/2011 à 15:13
j'ai tjs gérer moi-même la partie SQL sur tous les projets où j'étais parce que je pensais n'être pas mauvais et jusqu'à il y a peu, je pensais qu'on avait pas besoin d'un DBA parce que la plupart du temps, ils n'ont pas de plus-value par rapport à mes compétences.

et bah depuis que je suis chez Microsoft, j'ai changé d'avis. parce que comme le dit Lyche, plus tu mets les mains dedans, plus c'est performant. Ici, sur un projet, on a pris un produit MS, on l'amélioré avec des index, utilise SQL profiling et on était content. 1minute pour générer un report complexe.

On a fait venir un consultant SQL bien expérimenté. Une demi-journée plus tard, on passait à un report qui prend 4 secondes pour être généré.

donc je dirai que sans DBA on s'en sort mais lorsque les performances sont un point critique, comme le temps réel dans l'environnement bancaire, ils deviennent nécessaire. chacun son métier et ils le font mieux que nous (les devs)
Avatar de lutecefalco lutecefalco - Rédacteur https://www.developpez.com
le 28/10/2011 à 15:29
Citation Envoyé par Louis-Guillaume Morand  Voir le message
j'ai tjs gérer moi-même la partie SQL sur tous les projets où j'étais parce que je pensais n'être pas mauvais et jusqu'à il y a peu, je pensais qu'on avait pas besoin d'un DBA parce que la plupart du temps, ils n'ont pas de plus-value par rapport à mes compétences.

et bah depuis que je suis chez Microsoft, j'ai changé d'avis. parce que comme le dit Lyche, plus tu mets les mains dedans, plus c'est performant. Ici, sur un projet, on a pris un produit MS, on l'amélioré avec des index, utilise SQL profiling et on était content. 1minute pour générer un report complexe.

On a fait venir un consultant SQL bien expérimenté. Une demi-journée plus tard, on passait à un report qui prend 4 secondes pour être généré.

donc je dirai que sans DBA on s'en sort mais lorsque les performances sont un point critique, comme le temps réel dans l'environnement bancaire, ils deviennent nécessaire. chacun son métier et ils le font mieux que nous (les devs)

Bah yep, vous avez fait appel à un consultant SQL pour répondre à un problème bien spécifique qui a été résolu en une demie-journée.
C'est comme ça que je vois les dévs SQL, comme des experts qu'on appelle en cas de gros pépins.
Reste à lui trouver 439 autres problématiques pour combler 1 année à base de demie-journées.
Je persiste à dire que c'est pas donné à tout le monde d'avoir le nombre de projets qui justifie un dév SQL à temps plein
Avatar de Lyche Lyche - Expert confirmé https://www.developpez.com
le 28/10/2011 à 15:42
Je crois que tout est dit.

Il est impossible de parler avec des personnes qui ne comprennent pas l'importance d'une spécialisation dans notre métier et qui ont encore moins compris l'importance des BDD dans les applications. Sur ce, bonne fin de discussion.
Avatar de lutecefalco lutecefalco - Rédacteur https://www.developpez.com
le 28/10/2011 à 15:59
Citation Envoyé par Lyche  Voir le message
Je crois que tout est dit.

Il est impossible de parler avec des personnes qui ne comprennent pas l'importance d'une spécialisation dans notre métier et qui ont encore moins compris l'importance des BDD dans les applications. Sur ce, bonne fin de discussion.

Je pense pas avoir dit que ton métier n'était pas important.

J'ai juste dit qu'il était très spécifique, c'est tout.
Avatar de Louis-Guillaume Morand Louis-Guillaume Morand - Rédacteur https://www.developpez.com
le 28/10/2011 à 16:56
Citation Envoyé par Lyche  Voir le message
Je crois que tout est dit.

Il est impossible de parler avec des personnes qui ne comprennent pas l'importance d'une spécialisation dans notre métier et qui ont encore moins compris l'importance des BDD dans les applications. Sur ce, bonne fin de discussion.

t'es un peu tendu, on est vendredi no stress
LuteceFalco n'a pas totalement tord sur le fait que sur beaucoup de projet, tu ne peux pas justifier d'employer à temps plein un dev SQL c'est tout. il ne t'agresse pas
Avatar de Lyche Lyche - Expert confirmé https://www.developpez.com
le 28/10/2011 à 17:00
Citation Envoyé par Louis-Guillaume Morand  Voir le message
t'es un peu tendu, on est vendredi no stress
LuteceFalco n'a pas totalement tord sur le fait que sur beaucoup de projet, tu ne peux pas justifier d'employer à temps plein un dev SQL c'est tout. il ne t'agresse pas

99,99%.
Avatar de lutecefalco lutecefalco - Rédacteur https://www.developpez.com
le 28/10/2011 à 17:36
Citation Envoyé par Lyche  Voir le message
99,99%.

J'aurai pu mettre 99.999%
Avatar de alinedved alinedved - Nouveau Candidat au Club https://www.developpez.com
le 28/10/2011 à 23:34
Un millon c tt
Avatar de Immobilis Immobilis - Expert éminent https://www.developpez.com
le 29/10/2011 à 2:05
Salut
Citation Envoyé par Grabeuh  Voir le message
Les SGBD peuvent convertir une suite de caractères en hexadecimal en texte au moment de l'insertion grace à certaines fonctions embarquées. Je pense que ce type d'astuces doit passer à l'aise à travers la protection des formulaires.

Un exemple avec nihaorr1 il y a de cela quelques années: http://www.developpez.net/forums/d55...n/#post3344505. Je précise que le code que vous voyez était passé dans l'url.

A+
Offres d'emploi IT
Ingénieur conception en électronique de puissance H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil