Daniel CID, PDG de la société spécialisée en sécurité Sucuri, expose un procédé d'attaques par injection SQL très ingénieux dans un billet de blog. Le procédé de l'injection SQL est bien connu, mais il présente l'inconvénient, pour l'attaquant, de laisser des traces dans les fichiers de logs, ce qui permet de réagir en bloquant l'IP de l'attaquant.

L'idée d'attaque consiste alors à se servir d'une IP que l'administrateur de la machine cible ne pensera pas à bloquer, et même, ne voudra surtout pas bloquer : une des IP correspondant au robot d'indexation de Google !  Que bien sûr personne ne veut bloquer, sous peine de se retrouver exclu du moteur de recherche.

Pour cela, il suffit que l'attaquant mette en place un site avec des URLs malicieusement conçues pour attaquer par injection SQL le site considéré comme vulnérable. Quand le robot de Google passe pour indexer le site malicieux, il suit les URL et attaque, sans même sans rendre compte, le site cible.

Daniel CID indique avoir alerté Google de ce procédé, qu'il a découvert en sécurisant le site d'un de ses clients. Pour le moment Google ne lui à pas répondu.

Source : developpez.com et Sucuri