Académique Documents
Professionnel Documents
Culture Documents
authentification cassée
Avant de pouvoir parler de deux vulnérabilitré , nous devons d'abord comprendre la
différence entre l’authentification et l’autorisation .donc
IMPACTS :
Exposition de contenu non autorisé
Une fois qu'un attaquant a obtenu des privilèges d'accès non autorisés, il
explore généralement le site pour obtenir des informations sur l'obtention de
plus d'autorisations. Ce faisant, ils accèdent à des données système et
utilisateur sensibles, qu'ils peuvent obtenir du marché noir ou d'autres actes
malveillants. En cas d'attaque réussie, le pirate peut afficher, modifier ou
même supprimer les données sensibles,
2. Les pirates peuvent profiter des failles d'accès pour accéder aux
ressources et aux services qui ne devraient pas être accessibles aux
utilisateurs normaux.
Par exemple , la page d'administration d'une application Web ne doit
être accessible qu'à l'administrateur et ne doit être accessible à aucun
autre utilisateur. Cependant, si le contrôle d'accès est brisé, les pirates
peuvent facilement y accéder en apportant simplement quelques
modifications à l'URL. Avec ce privilège, ils peuvent voler les données
d'autres utilisateurs ou déployer des charges utiles malveillantes pour
détr
1. Chaque fois que nous créons un compte sur un site Web, nous
recevons un identifiant unique. En utilisant cet identifiant, nous
pouvons accéder à la base de données où tous nos contenus
sensibles sont enregistrés. Supposons que vous vous soyez connecté
à un site Web et que votre ID utilisateur soit 986 . L'URL de votre page
de profil devrait ressembler à
ceci : https://brokenaccesscontrol.com/profile?id=986 . Nous devons
garder à l'esprit que, comme vous, tous ceux qui créent leur compte
sur ce site Web reçoivent un identifiant d'utilisateur unique. Ainsi, si
vous remplacez votre identifiant par l'identifiant de quelqu'un d'autre,
vous pouvez accéder à son profil. Oui, cela peut arriver si le contrôle
d'accès n'est pas correctement implémenté dans le serveur.
uire l'ensemble de l'écosystème d'hébergement d'applications.
empêcher
-Refuser par défaut : Par exemple, par défaut, chaque utilisateur de l'application
doit se voir refuser l'accès aux ressources de l'application, seul un utilisateur
légitime obtenant des autorisations pour les afficher, y accéder et les
modifier.
-Activez le contrôle d'accès basé sur les rôles : les utilisateurs reçoivent des
autorisations en fonction de leurs rôles. Au lieu d'identifier chaque
utilisateur individuellement, les utilisateurs sont affectés à un groupe
de rôles,
-Activez le contrôle d'accès basé sur les autorisations :
Il s'agit d'une méthode de contrôle d'accès, où la couche d'autorisation
vérifie si l'utilisateur a l'autorisation d'accéder à des données
particulières ou d'effectuer une action particulière, généralement en
vérifiant si les rôles de l'utilisateur ont cette autorisation ou non.