Références directes non sécurisées à un objet

Slides:



Advertisements
Présentations similaires
Les pronoms objets directs et indirects
Advertisements

Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010.
1 Programmation en C++ Fonctions ● Déclaration et définition de fonctions ● Arguments ● Surcharge ● Arguments optionnels ● Fonctions constantes ● Fonctions.
Accès Intertaxe. Fenêtre de connexion - Les comptes créés en 2015 restent valides - Mot de passe oublié ? - Pas de compte ? Accéder au site se fait uniquement.
A9 - Utilisation de composants avec des vulnérabilités connues.
Droit d’accès à l’application DJGym octobre 2016.
Notre site Internet Un outil d'information au service de tous
Mouvements spécifiques 2017
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Transition d’année scolaire
Rechercher des articles et des sites web
Formation pour les services d'assistance
Le réseau pédagogique de l’établissement
Applications informatiques de l’Enseignement catholique
Ensemble de services.
L’IPv6.
Nicole Arsenault|Gestionnaire à la réussite – comptes majeurs
Le nouvel espace partenaires et l’EXTRANET CDAP
Présentation de Suputi
Le nouvel espace partenaires et l’EXTRANET CDAP
GUIDE UTILISATEUR- MY HR
Utilisation de PostgreSQL
L’ordinateur et les réseaux
Présentation du projet d’E.P.I.
Sécurisation de l’accès Internet
Livret Scolaire Unique (LSU)
Entretien téléphonique et via Skype
Déclarer un rassemblement
Bibliothèque Universitaire
Principes de programmation (suite)
Sécurité Web Protocole HTTPS.
Mise en place d’un serveur DHCP
Collecte de données CAPI
(Système de Management de la Sûreté)
Programmation en C++ Fonctions
Semaine #10 INF130 par Frédérick Henri.
Création des métadonnées
Gestion des sécurités sur les comptes User Access Control
Windows 7 NTFS.
Les interfaces en PHP.
Sécurité des réseaux (gestion et politique de sécurité) Présenté par : - Megherbi Aicha Ahlem 1.
File Transfer Protocol Secure
Le Cahier des charges (ou CdCF)
Déclaration des incidents et accidents découlant de la prestation de soins de santé ou de services sociaux.
Programmation en C++ Fonctions
Containeurs & Itérateurs
HATRY Emmanuel TALIDEC Sebastien DENIS Maxime
Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory.
Type Concret – Type Abstrait
Plus qu'une simple photo.
BTS SIO 2ème année SLAM SISR
Comment publier un article sur le site numavenir ?
ARGfamille CANTINE ET GARDERIES.
FORMATION SUR LE SERVICE DE DÉPANNAGE
Exposé de système / réseaux IR3
Présentation du Campus Virtuel de MDE BUSINESS SCHOOL
Gestion des sécurités sur les comptes User Access Control
Documentation établissement APPLICATION CYCLADES Session du DNB
Collège Camille-Guérin
Planning.
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Design Pattern - Decorator
Principes de programmation (suite)
Comment accéder à Lexis 360 Étudiants ? Nouvel utilisateur
À surveiller après l’installation du cours
Pas à pas Apport d’affaires Site prime énergie d’EDF
* * SE CONNECTER À MON COMPTE PARTENAIRE POUR UN BAILLEUR (1/4)
Gérer les accès à un module
Bases de données Singleton pour la connexion
Transcription de la présentation:

Références directes non sécurisées à un objet Par Maxime Noel

Présentation du problème Les références directes non sécurisées à un objet permettent à un « attaquant » de contourner les vérifications d’autorisation et d’accéder directement aux données/fichiers auxquels il ne devrait pas avoir accès. L’« attaquant » peut accéder à ces informations en changeant des paramètres qui pointent directement à un objet.

Environnements affectés

Comment éviter cette faille? Ajouter des niveaux d’autorisation aux actions Vérifier que l’usager a accès aux données qu’il demande à voir Mettre des ID primaires en string aléatoires plutôt qu’une incrémentation de nombres Implémenter des références indirectes * Si l’usager est inactif, lui demander d’entrer à nouveau son mot de passe

Conclusion En conclusion, les références directes non sécurisées à un objet permettent l’accès à des données confidentiels.