Injections

Def et Fonctionnement:

Les injections (souvent SQL) sont des attaques qui utilisent les entry fields pour y insérer des chaînes malveillantes, comme du code etc... afin de pouvoir faire une exploitation de code arbitraire. C'est un vecteur d'attaque qui peut par exemple entraîner ensuite d'autres attaques comme la XSS ou la CSRF

Exploitation :

SQL :

Def et Fonctionement:

Le but est de contourner les mesures de sécurités utilisées afin de faire une énumération de la table ou éventuellement une RDE.
Aussi on peut utiliser SQLMap
Pour apprendre à faire les Injections SQL :

Cheatsheet :
https://portswigger.net/web-security/sql-injection/cheat-sheet

CRLF Injection :

https://owasp.org/www-community/vulnerabilities/CRLF_Injection#:~:text=The term CRLF refers to,in today's popular Operating Systems.
Le but est d'insérer un retour charriot dans le un input field, le but étant de finir la commande et de pouvoir lancer un code malveillant à la suite.

Prévention :

https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet.html
Pour prévenir ces attaques, il est souvent nécessaire de faire du remplacement de caractères, de la protection de chaîne de caractères. Des applications comme un WAF permet de faire de l'inspection en couche 7 qui permet de surveiller les échanges sur les navigateurs pour éviter ces attaques.