Violation de Gestion d’authentification et de Session 3e faille au classement de l’OWASP
Introduction Les fonctions relatives à l’authentification et la gestion ne sont pas toujours mis en œuvre correctement. Ce qui ouvre une brèche pour des utilisateurs aux intentions malicieuses.
Description du problème Agents de menace: les accès anonymes et les utilisateurs qui tentent d’avoir accès à d’autres comptes. La stratégie de l’attaquant est d’exploiter des fuites ou des faiblesses des gestionnaires de sessions et d’authentification pour usurper l’identité.
Impact d’une telle attaque? Impact technique: L’attaquant accède au système sous une autre identité et en obtient les privilèges. Impact métier: Considérer la valeur marchande ou confidentielle des données ou fonctions exposées et de la divulgation de la vulnérabilité.
Environnement affectés Tous les Framework d'applications web sont vulnérables à des failles dans la gestion d'authentifications et de sessions.
Exemple de cas
Suis-je vulnérable? Voici une liste de questions à se poser Les identifiants sont-ils stockés de façon sécuritaires? Peut-on deviner ou modifier des identifiants via la gestion des comptes? L’ID de session apparaît-il dans l’URL? L’Id de session expire-t-il? Peut-on se déconnecter?
Comment faire pour éviter cette faille
Conclusion Dans la mesure du possible il est conseillé de ne pas développer son propre mécanisme d’authentification. Il est préférable d’utiliser un système existant éprouvé.