Références directes non sécurisées à un objet Par Maxime Noel
Présentation du problème Les références directes non sécurisées à un objet permettent à un « attaquant » de contourner les vérifications d’autorisation et d’accéder directement aux données/fichiers auxquels il ne devrait pas avoir accès. L’« attaquant » peut accéder à ces informations en changeant des paramètres qui pointent directement à un objet.
Environnements affectés
Comment éviter cette faille? Ajouter des niveaux d’autorisation aux actions Vérifier que l’usager a accès aux données qu’il demande à voir Mettre des ID primaires en string aléatoires plutôt qu’une incrémentation de nombres Implémenter des références indirectes * Si l’usager est inactif, lui demander d’entrer à nouveau son mot de passe
Conclusion En conclusion, les références directes non sécurisées à un objet permettent l’accès à des données confidentiels.