Google utilisé pour effectuer des injections SQL

Nov 5, 2013

Le cabinet de sécurité Securi a découvert dernièrement que Google pouvait être utilisé pour effectuer des attaques de type SQLI. Daniel Cid, PDG de la société, explique la manière de procédé ci-dessous.

Mettons un attaquant découvre une faille sur un site permettant de faire une injection SQL à travers l'URL d'une des page de ce dernier. Cette attaquant construit sa requête mais pour ne pas qu'on remonte jusque lui, il décide de laisser le sale boulot à quelqu'un d'autre. Ce quelqu'un est tout trouvé, il suffit qu'il mette le lien contenant l'attaque sur son site et Google ira crawler ce lien déclenchant par la même occasion l'attaque voulu.