QCM Les injections SQL
- Posted by Riadh HAJJI
- Categories ASW
- Date 19 décembre 2019
Sommaire
QCM Les injections SQL
-
Objectifs
- Connaitre les injections SQL.
- L'utilisateur Mohamed souhaite se connecter avec son mot de passe "truc" hashé en MD5. La requête suivante est exécutée :
SELECT uid FROM Users WHERE name = 'Mohamed' AND password = '45723a2af3788c4ff17f8d1114760e62';- Imaginons à présent que le script PHP exécutant cette requête ne vérifie pas les données entrantes pour garantir sa sécurité. Un hacker pourrait alors fournir les informations suivantes :Utilisateur et Mot de passe la requête devient :
Les injections SQL
Départ
Félicitation - vous avez complété Les injections SQL.
Vous avez obtenu %%SCORE%% sur %%TOTAL%%.
Votre performance a été évaluée à %%RATING%%
Vos réponses sont surlignées ci-dessous.
Question 1 |
Sur un site WEB, sur quel type d'entrée ne peut-on pas injecter ?
A | Les variables de cookies |
B | Les variables de sessions
|
C | Les combo-box (menus déroulants) des formulaires |
D | Les champs texte des formulaires
|
E | Les champs cachés des formulaires |
Question 2 |
Pour utiliser les paramètres dans une requête SQL en écrit:
A | INSERT INTO users (nomUtilisateur,addresseUtilisateur,gouvUtilisateur) Values(@0,@1,@2)"; |
B | INSERT INTO users (nomUtilisateur,addresseUtilisateur,gouvUtilisateur) Values(?0,?1,?2)"; |
C | INSERT INTO users (nomUtilisateur,addresseUtilisateur,gouvUtilisateur) Values(@1,@2,@3)"; |
D | INSERT INTO users (nomUtilisateur,addresseUtilisateur,gouvUtilisateur) Values(?1,?2,?3)"; |
Question 3 |
Les paramètres SQL sont des valeurs qui sont ajoutées à une requête SQL au moment de l'exécution, de manière contrôlée, ils sont représentés dans l'instruction SQL par un marqueur.
A | @ |
B | & |
C | # |
D | -- |
Question 4 |
Une attaque par SQL injection consiste en l'insertion ou "injection" d'une requête SQL --------------- via les données entrées ou transmises par le client (navigateur) vers l'application web.
A | partielle et complète |
B | partielle |
C | complète |
D | partielle ou complète |
Question 5 |
Il existe une grande variété de vulnérabilités, d'attaques et de techniques d'injection SQL qui surviennent dans différentes situations. Voici quelques exemples courants d'injection SQL (sélectionner la réponse fausse):
A | injecter du contenu dans une page Indice: Le cross-site scripting (abrégé XSS) est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page |
B | Injection SQL aveugle Indice: où les résultats d'une requête que vous contrôlez ne sont pas renvoyés dans les réponses de l'application. |
C | Attaques UNION Indice: où vous pouvez récupérer des données à partir de différentes tables de base de données. |
D | Subvertir la logique de l'application Indice: où vous pouvez modifier une requête pour interférer avec la logique de l'application. |
E | Récupération de données cachées Indice: où vous pouvez modifier une requête SQL pour retourner des résultats supplémentaires. |
F | Examen de la base de données Indice: où vous pouvez extraire des informations sur la version et la structure de la base de données. |
Question 6 |
Sur quel SGBD est-il impossible de faire de l'injection SQL ?
A | SQL Server |
B | PostgreSQL |
C | MySQL
|
D | Oracle |
E | Tous les SGBD sont vulnérables |
Question 7 |
La fonction PHP d'échappement des chaînes de caractères
mysqli_real_escape_string :A | va ajouter un / devant certains caractères comme par exemple ' ou " |
B | va ajouter un \n devant certains caractères comme par exemple ' ou " |
C | va ajouter un \ devant certains caractères comme par exemple ' ou " |
D | va ajouter un /n devant certains caractères comme par exemple ' ou " |
Question 8 |
L'opérateur utilisé dans les injections SQL pour joindre une requête, construite par le testeur, à la requête originale est l'opérateur.
A | count |
B | union |
C | concat |
D | group by |
E | select |
Question 9 |
Pour découvrir quel type de base de données est utilisé pour un site web, on peut
A | observer les erreurs retournées par l'application |
B | Lire la documentation de l'application |
C | observer les résultats retournées par l'application |
D | Lire les messages personnalisés retournées par l'application |
Question 10 |
L'un des types les plus courants d'injection SQL utilise l'opérateur UNION. Il permet à l'attaquant de combiner les résultats de deux ou plusieurs instructions SELECT en un seul résultat. La technique est appelée
A | injection SQL basée sur l'exécution SQL. |
B | injection SQL basée sur l'union . |
C | injection SQL basée sur la sélection SQL. |
D | injection SQL basée sur l'insertion SQL. |
Question 11 |
Dans le cas d'un formulaire non sécurisé le hacker peut contourner le mot de passe en écrivant:
A | SELECT uid FROM Users WHERE name = '' AND password = '' or 1 --'; |
B | SELECT uid FROM Users WHERE name = '' AND password != '' or 1 --'; |
C | SELECT uid FROM Users WHERE name = 'Mohamed' AND password != '' or 1 --'; |
D | SELECT uid FROM Users WHERE name = 'Mohamed' AND password = '' or 1 --'; |
E | SELECT uid FROM Users WHERE name = 'Mohamed' AND password = '' or 1 --; |
Explication pour la question 11:
L'apostrophe indique la fin de la zone de frappe de l'utilisateur, le code « or 1 » demande au script si 1 est vrai, or c'est toujours le cas, et -- indique le début d'un commentaire.
Question 12 |
Pour échapper les caractères spéciaux contenus dans les chaînes de caractères entrées par l'utilisateur.
En PHP on peut utiliser pour cela la fonction
mysqli_real_escape_string, qui transformera la chaîne A | ' -- en \' --. |
B | ' \-- en \\' --. |
C | ' -- en /' --. |
D | ' \\-- en \' --. |
E | '\ -- en ' --. |
Question 13 |
A | SELECT uid FROM Users WHERE name = 'Mohamed'; -- ' AND password = '4e383a1918b432a9bb7702f086c56596e';
|
B | SELECT uid FROM Users WHERE name = 'Mohamed'; >> ' AND password = '4e383a1918b432a9bb7702f086c56596e';
|
C | SELECT uid FROM Users WHERE name = 'Mohamed'; // ' AND password = '4e383a1918b432a9bb7702f086c56596e';
|
D | SELECT uid FROM Users WHERE name = 'Mohamed'; !-- ' AND password = '4e383a1918b432a9bb7702f086c56596e';
|
E | SELECT uid FROM Users WHERE name = 'Mohamed'; << ' AND password = '4e383a1918b432a9bb7702f086c56596e';
|
Question 14 |
Les caractères qui marquent le début d'un commentaire en SQL sont.
A | '!--' |
B | <!-- |
C | <-- |
D | -- |
Question 15 |
L'injection SQL est une ------------- de sécurité Web qui permet à un attaquant d'interférer avec les requêtes qu'une application effectue sur sa base de données.
A | vunérabilité |
B | sécurité |
C | vulnérabilité |
D | attaque |
Question 16 |
Voici quelques pratiques d'hygiène de codage de base pour sécuriser le site Web de votre organisation contre les attaques XSS (cochez la réponse fausse):
A | Restreindre l'accès aux tables sensibles avec des autorisations de base de données |
B | installer un antivirus |
C | Paramétrez vos requêtes au lieu d'y incorporer directement les entrées utilisateur.
|
D | Vérifiez vos paramètres. |
E | Échappez aux caractères qui ont une signification particulière en SQL.
|
Question 17 |
Les attaques par injection SQL sont l'une des vulnérabilités des applications Web les plus anciennes, les plus répandues et les plus dangereuses. L'organisation OWASP (Open Web Application Security Project) répertorie les injections dans son document OWASP Top 10 2017 comme la menace numéro------------pour la sécurité des applications Web.
A | deux |
B | trois |
C | un |
D | quatre |
Question 18 |
Quel est le meilleur moyen de se prémunir des injections SQL ?
A | Installer des règles plus strictes sur le firewall
|
B | Utiliser une fonction d'échappement de caractère, comme 'addslashes' |
C | Utiliser la fonction "prepare" lors des accès à la base |
D | Mettre des mots de passe "incassables" sur les comptes du SGBD |
E | Installer des règles plus strictes sur l'antivirus
|
Question 19 |
Une injection SQL est
A | L'insertion dans une requête SQL d'une chaîne qui modifiera son sens
|
B | le détournement d'une SGBD pour l'ouvrir |
C | Une attaque durant laquelle le poste client se connecte directement à un SGBD sans s'authentifier
|
Question 20 |
Pour l'injection SQL basée sur les erreurs
A | le pirate utilise les résultats de la base de données et pirate la base de données pour faire avancer les choses. |
B | le pirate informatique analyse des différents ports ouverts et trouve le motif d’erreur dans la base de données. Ensuite, il y accède pour satisfaire son désir. |
C | le pirate informatique analyse des différentes opérations et trouve le motif d’erreur dans la base de données. Ensuite, il y accède pour satisfaire son désir. |
D | le pirate informatique analyse des différentes opérations et trouve le motif d’erreur dans la base de données. Ensuite, il y accède pour satisfaire son désir. |
Une fois terminé, cliquez sur le bouton ci-dessous. Toutes les questions que vous n'avez pas complétées sont marquées comme incorrectes.
Obtenir les résultats
Il y a 20 questions à compléter.
← |
→ |
Vous avez complété
questions
question
Votre score est de
Correct
Faux
Réponse partielle
Vous n'avez pas fini votre quiz. Si vous quittez cette page, votre progression sera perdue.
Réponses correctes
Vous avez sélectionné
Pas essayer
Score final du quiz
Nombre de questions répondues de manière correcte
Nombre de questions répondues de manière incorrecte
Question non répondues
Nombre total de questions dans le quiz
Détail de la question
Résultats
Date
Score
Indice
Temps autorisé
minutes
secondes
Temps utilisé
Réponse(s) sélectionnée(s)
Texte de la question
Fini
Vous avez besoin de plus d'entraînement !
Persévérez !
Pas mal !
Bon travail !
Parfait !
Riadh HAJJI
You may also like
Techniques de cryptographie
12 août 2022
Qu’est-ce que la Cryptographie La Cryptographie : le chiffrement symétrique La Cryptographie : le chiffrement asymétrique Techniques de cryptographie Exercices Cryptographie Série 01 (Correction) Techniques de cryptographie Objectifs Découvrir les techniques de cryptographie Présentation La cryptologie et la stéganographie sont deux procédés visant à protéger des messages afin d’assurer notamment la confidentialité des échanges ou des données. Techniques de cryptographie …
Exercices Cryptographie Série 01
11 août 2022
Qu’est-ce que la Cryptographie La Cryptographie : le chiffrement symétrique La Cryptographie : le chiffrement asymétrique Techniques de cryptographie Exercices Cryptographie Série 01 (Correction) Exercices Cryptographie Série 01 Rappel Le code de César est une permutation de lettre ou un décalage. Toutes les lettres du message sont décalées d’un nombre fixe. Le code de Vigenère introduit un décalage qui dépend …
Qu’est-ce que la Cryptographie
9 août 2022
Qu’est-ce que la Cryptographie La Cryptographie : le chiffrement symétrique La Cryptographie : le chiffrement asymétrique Techniques de cryptographie Exercices Cryptographie Série 01 (Correction) Qu’est-ce que la Cryptographie Objectifs Connaitre la Cryptographie Présentation L’objectif fondamental de la cryptographie est de permettre à deux personnes, appelées traditionnellement ALICE et BOB, de communiquer au travers d’un canal non sécurisé de telle sorte …