Académique Documents
Professionnel Documents
Culture Documents
sqlplus /@ROMINET
OK POUET !
Architecture en strates
HTTP/HTTPS
Servlet/8080
Sqlnet/1521
Utilisation de UNION
SELECT Ccnum, Ccexp FROM Creditcards WHERE Ccnum='xxx'
15 /24 UNION SELECT NULL, NULL FROM 1=1 '
Copyright Hervé Schauer Consultants 2000-2005 - Reproduction Interdite
Injection SQL
Exemple : Vulnérabilité IMP (Webmail) de janvier 2003
http://webmail/imp/mailbox.php3
?actionID=6&server=x&imapuser=x';somesql+--&pass=x"
Écueils
Utilisation des quotes (simples ou doubles) et des commentaires
Les résultats ne sont pas toujours visibles
Couche de présentation
Les possibilités peuvent dépendre du driver utilisé et de la base
attaquée
http://webserver/script.asp?id=0--%20%28SELECT%20*%20FROM%20table%29
Sap Waldorf
IPSEC
HTTPS
Sap Router
VPN SSL
SAP
Firewall SAP
LAN
Infrastructure SAP