La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Violation de Gestion d’authentification et de Session

Publié parJules Bourgeois Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "Violation de Gestion d’authentification et de Session"— Transcription de la présentation:

1 Violation de Gestion d’authentification et de Session
Fait par Alexandre Martin

2 Usurpation d’identité, voilà ce que c’est !
Scénario d’applications mal protégées : Permet le Brute Force Accès à la base de donnée des mots de passe Identifiants de connexion/mots de passe non « hasher » dans la BD Mauvaise désactivation des jetons d’authentification Indication de l’élément erroné à la connexion : « Mot de passe incorrect » Utilisateur déjà existant à la création d’un compte Transition des mots de passes/IDs de session par des canaux non chiffrés. [Exposition de données sensibles ] Identifiants de session exposés dans l'URL

3 Tous ! Environnements affectés ?
Que votre code soit en PHP, C#, ASP.NET, PHP Qu’il soit hébergé sur un serveur IIS ou non QU’il soit utilisé sur Mac, Windows ou Linux

4 Comment faire pour éviter cette faille ?
Hasher les informations de connexion de l’utilisateur Protéger la base de donnée (Mot de passe, la rendre inaccessible à l’utilisateur( Ne pas indiquer à l’usager l’information erronée ni aucune information personnelle sans être connecté Ne jamais mettre de SessionID, mot de passe ou utilisateur dans l’URL 2P0OC2JSNDLPSKHCJUN2JV?dest=Hawaii Mettre des « captchas », un nombre limite d’essai sur un compte pendant un certain temps

5 Conclusion Plusieurs vont penser que faire son propre système d’authentification est préférable en tout point. Pourtant, il y a beaucoup de choses à vérifier et oublier un seul de ces éléments peut être fatal pour la compagnie à qui appartient ce site. (Perte d’une somme d’argent importante, informations confidentielles distribuées sur le web, moins de crédibilité pour l’entreprise.) C’est pour ça qu’il est préférable d’utiliser un système déjà existant éprouvé, testé et qualifié.

Télécharger ppt "Violation de Gestion d’authentification et de Session"

Présentations similaires

UTILISATION DE LAPPLICATION e-SIN Les accès sécurisés.

UTILISATION DE LAPPLICATION e-SIN Les accès sécurisés.
Protection du réseau périphérique avec ISA 2004

Protection du réseau périphérique avec ISA 2004
Xavier Tannier Yann Jacob Sécurite Web.

Xavier Tannier Yann Jacob Sécurite Web.
Livret de Compétences Académique SEGPA Document de travail

Livret de Compétences Académique SEGPA Document de travail
Le mécanisme de Single Sign-On CAS (Central Authentication Service)

Le mécanisme de Single Sign-On CAS (Central Authentication Service)
V 1.5 Site Web de Formation. Intérêts Cette fonctionnalité de Spiral vous permet de créer et gérer des sites web entièrement personnalisable venant s'appuyer.

V 1.5 Site Web de Formation. Intérêts Cette fonctionnalité de Spiral vous permet de créer et gérer des sites web entièrement personnalisable venant s'appuyer.
Un peu de sécurité Modal Web Modal Baptiste DESPREZ

Un peu de sécurité Modal Web Modal Baptiste DESPREZ
Concevoir un jeu éducatif virtuel

Concevoir un jeu éducatif virtuel
Sécurité Informatique

Sécurité Informatique
Comment se prémunir contre les risques d'un compte Gmail ?

Comment se prémunir contre les risques d'un compte Gmail ?
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.

MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Service Commun Informatique

Service Commun Informatique
Violation de Gestion d’authentification et de Session

Violation de Gestion d’authentification et de Session
Mauvaise configuration sécurité

Mauvaise configuration sécurité
Développement dapplications web Initiation à la sécurité 1.

Développement dapplications web Initiation à la sécurité 1.
Rapport de TER 2002 R₫alisation d'un site web dynamique en PHP / MySql

Rapport de TER 2002 R₫alisation d'un site web dynamique en PHP / MySql
Web Services - ADFS Pellarin Anthony En collaboration avec : Sogeti 1.

Web Services - ADFS Pellarin Anthony En collaboration avec : Sogeti 1.
MODULE 3 RÉSERVER UN DOCUMENT 1 Se connecter à Koha Voir ses prêts en cours Renouveler Vérifier la date de retour.

MODULE 3 RÉSERVER UN DOCUMENT 1 Se connecter à Koha Voir ses prêts en cours Renouveler Vérifier la date de retour.
Les instructions PHP pour l'accès à une base de données MySql

Les instructions PHP pour l'accès à une base de données MySql
Mauvaise configuration sécurité

Mauvaise configuration sécurité

Présentations similaires

Annonces Google