Académique Documents
Professionnel Documents
Culture Documents
API8:2019 Injection
Les attaquants construisent des appels d'API qui incluent des commandes SQL, NoSQL, LDAP,
OS ou autres que l'API ou le backend derrière elle exécute aveuglément.
L’outil FFUF :
3) Mise en place d’un proxy pour intercepter les requêtes envoyées et les réponses
reçus en utilisant BurpSuite Proxy :
Description :
Lors de la création des activités, chaque activité est associée à un identifiant (ID). En utilisant
cet identifiant, il est possible de supprimer toute activité créée, même si vous n'avez pas
réellement accès à l’activité.
Reproduction :
1) Se connecter avec utilistateur1
6) Configurez un proxy pour intercepter la requête et cliquez sur Désactiver sur l’activité
que vous venez de créer avec utilisateur2.
Impact :
Étant donné que les identifiants des activités sont séquentiels (8001, 8002, 8003…) un
attaquant peut facilement désactiver et même supprimer toutes les activités d'autres
personnes.
Autres Menaces :
L'API n'est pas protégée contre un nombre excessif d'appels ou de payload utile. Les
attaquants l'utilisent pour les attaques DDoS et par force brute.
API exposant beaucoup plus de données que ce dont le client a légitimement besoin,
s'appuyant sur le client pour effectuer le filtrage. L'attaquant va directement à l'API
et a tout.