Contexte
Les injections SQL restent l'une des vulnérabilités les plus critiques du web (Top 10 OWASP). Ce TP vous place dans la peau d'un attaquant éthique pour comprendre les mécanismes, puis dans celle d'un administrateur système pour analyser les traces et sécuriser l'infrastructure.
1. Découverte (25')
2. Analyse Logs (40')
3. Protection (40')
4. Rapport (15')
Livrables & Barème
Partie 1 : Découverte de l'injection SQL
Objectif : Manipuler une base de données via un formulaire web vulnérable.
Exercice 1.1 : Tutoriel interactif (15 min)
Se connecter au site d'entraînement :
- URL : https://www.hacksplaining.com/exercises/sql-injection
- Cliquer sur "Start lesson"
- Suivre le tutoriel interactif
À noter dans le compte rendu :
- Quel payload est utilisé dans l'exemple ?
- Quel est l'impact démontré ?
- Capture d'écran : Insérer la page finale "Lesson Complete"
Exercice 1.2 : Tester sur un environnement sécurisé
Site à utiliser : https://portswigger.net/web-security/sql-injection
Mission :
- Cliquer sur "Access the lab" pour le premier exercice
- Lire les instructions (traduction possible avec clic droit)
- Essayer de résoudre le premier lab (niveau apprentice)
Aide : L'objectif est de modifier l'URL pour voir tous les produits.
À noter dans le compte rendu :
- Quelle URL a été modifiée ?
- Combien de produits s'affichent maintenant ?
- Expliquer le fonctionnement (avec vos mots) : Pourquoi l'ajout de caractères spéciaux modifie le comportement de la requête SQL ?