Violation de Gestion d’authentification et de Session

Slides:



Advertisements
Présentations similaires
Pour se connecter à Pronote (Espace Parents )
Advertisements

Sécurité informatique
UTILISATION DE LAPPLICATION e-SIN Les accès sécurisés.
Modélisation des menaces
La sécurité dans Sharepoint
Les Excel Services de Office 2007
Copyright 2013 © Consortium ESUP-Portail Chainage de serveur CAS ESUP-Days 16, Paris 02 juillet 2013 Julien Marchal – Université de Lorraine.
Conception de la sécurité pour un réseau Microsoft
Audit technique et analyse de code
Windows 2000 Architecture de Sécurité. Modèle de sécurité Windows 2000.
Xavier Tannier Yann Jacob Sécurite Web.
! ! ! PROCEDURE TYPE POUR ORGANISER L ’ANONYMAT
Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Sécurité Informatique
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Les profils utilisateurs. Concept La notion dutilisateur est héritée des systèmes Unix Permet de gérer au mieux la sécurité et lappel aux diverses fonctions.
1 Comment utiliser votre Extranet Se connecter 2.My Site 3.Documentation 3.1 Documents dintégration 3.2 Documents types 4.Vos informations privées.
Développement dapplications web Initiation à la sécurité 1.
Module 1 : Préparation de l'administration d'un serveur
Windows 7 Administration des comptes utilisateurs
Management des Organisations: Introduction au thème 8.1
Ecole Supérieure Privée de ingénierie et de technologie année universitaire :2013/2014 Cross-Plateform Cours JavaScript.
Améliorer l’identification des patients en milieu hospitalier
Xavier Tannier Sécurite Web.
Module 9 : Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft.
Développement d’applications web
Développement dapplications web Authentification, session.
SSO : Single Sign On.
Objectifs pédagogiques
Un portail éducatif (1) Les fonctions d'un portail –Point d'entrée vers une palette de services existants (intégration). –Gestion de l' identité et des.
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Une approche documentaire de la diffusion sur Internet Journée WebÉducation Martin Sévigny / Irosoft / 14 mai 2009
4 - Annuaires Les Annuaires d ’Entreprises Offres et solutions
Conseils pour vous protéger des pirates informatiques Stéphanie, Dorian, Bastien.
GESTION DES UTILISATEURS ET DES GROUPES
Windows 2003 Server Modification du mode de domaine
Institut Supérieur d’Informatique
1 Séance 11 LE CHANGEMENT DANS L’ENTREPRISE À lire pour cette séance : le chapitre 8 et l’analyse 1, LAPOINTE, Paul-André, «Rationalité, pouvoir et identités:
Gérer les utilisateurs
Modules d'authentification enfichables (P.A.M.)
Table Ronde Bulletins de Sécurité
ANNEE SCOLAIRE 2005 / FONCTIONNEMENT DU RESEAU DU COLLEGE Tous les ordinateurs du collèges, portables et fixes sont dans un réseau. Cela signifie.
SECURITE Sensibilisation Formation
L’authentification Kerberos
Youssef BOKHABRINE – Ludovic MULVENA
Projet serveur Active Directory
LDAP (Lightweight Directory Access Protocol)
Module 2 : Planification de l'installation de SQL Server
Sécurité informatique
Introduction à la Programmation Orientée Objet
UTILISATION « MAIL UNIV » Lien: Service des Ressources et de la Maintenance Informatique.
Module 3 Sécurité des Réseaux
Rodney Buike Conseiller professionnel en TI Damir Bersinic Conseiller professionnel en TI Trois.
Vous voici dans notre site « laboratoire » pour la démonstration AJOUTER UNE PAGE Cliquez sur ENTREZ ICI pour accéder à la partie administration.
Table Ronde Bulletins de Sécurité MS Bulletin de sécurité hors cycle.
Chapitre 2- Sécurité Informatique 1 Responsable du cours : Héla Hachicha Année Universitaire :
Master 1 SIGLIS Jave Lecteur Stéphane Tallard Chapitre 5 – Correction TD.
GUIDE D’UTILISATION SITE STE BATHILDE. Sommaire 1.Connexion - La page d’accueil 2.Gérer les articles: - Création - Modification - Suppression 3.Gérer.
TWP Toolkit Formation 21/10/2009.
Table Ronde Bulletins de Sécurité Décembre Avis de SécuritéRévisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference.
CRÉER UN MUR VIRTUEL Pierre BINET Collège Jean Fernel CLERMONT.
Table Ronde Bulletins de Sécurité Février Avis de SécuritéRevisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference.
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Table Ronde Bulletins de Sécurité Mars Avis de SécuritéRevisions Autre contenu Cycle de vie des produits Annexes Manageability Tools Reference Ressources.
E-lyco à la découverte de l’interface. L’environnement numérique de travail e-lyco est un ensemble de services en ligne, personnalisés et sécurisés, accessibles.
Rencontres LCG-France 01/12/2014. Agenda La Fédération Education-Recherche –Pourquoi, pour qui, comment ? L’inter-fédération eduGAIN Autres travaux et.
Violation de Gestion d’authentification et de Session
Violation de Gestion d'Authentification et de Session
LearningApps.org Laurence Fauvelle. Du 2.0 ! « Multi-services & Multi-usages »
Transcription de la présentation:

Violation de Gestion d’authentification et de Session 3e faille au classement de l’OWASP

Introduction Les fonctions relatives à l’authentification et la gestion ne sont pas toujours mis en œuvre correctement. Ce qui ouvre une brèche pour des utilisateurs aux intentions malicieuses.

Description du problème Agents de menace: les accès anonymes et les utilisateurs qui tentent d’avoir accès à d’autres comptes. La stratégie de l’attaquant est d’exploiter des fuites ou des faiblesses des gestionnaires de sessions et d’authentification pour usurper l’identité.

Impact d’une telle attaque? Impact technique: L’attaquant accède au système sous une autre identité et en obtient les privilèges. Impact métier: Considérer la valeur marchande ou confidentielle des données ou fonctions exposées et de la divulgation de la vulnérabilité.

Environnement affectés Tous les Framework d'applications web sont vulnérables à des failles dans la gestion d'authentifications et de sessions.

Exemple de cas

Suis-je vulnérable? Voici une liste de questions à se poser Les identifiants sont-ils stockés de façon sécuritaires? Peut-on deviner ou modifier des identifiants via la gestion des comptes? L’ID de session apparaît-il dans l’URL? L’Id de session expire-t-il? Peut-on se déconnecter?

Comment faire pour éviter cette faille

Conclusion Dans la mesure du possible il est conseillé de ne pas développer son propre mécanisme d’authentification. Il est préférable d’utiliser un système existant éprouvé.