Télécharger la présentation
Publié parViolette Roland Modifié depuis plus de 10 années
1
Violation de Gestion d’authentification et de Session
3e faille au classement de l’OWASP
2
Introduction Les fonctions relatives à l’authentification et la gestion ne sont pas toujours mis en œuvre correctement. Ce qui ouvre une brèche pour des utilisateurs aux intentions malicieuses.
3
Description du problème
Agents de menace: les accès anonymes et les utilisateurs qui tentent d’avoir accès à d’autres comptes. La stratégie de l’attaquant est d’exploiter des fuites ou des faiblesses des gestionnaires de sessions et d’authentification pour usurper l’identité.
4
Impact d’une telle attaque?
Impact technique: L’attaquant accède au système sous une autre identité et en obtient les privilèges. Impact métier: Considérer la valeur marchande ou confidentielle des données ou fonctions exposées et de la divulgation de la vulnérabilité.
5
Environnement affectés
Tous les Framework d'applications web sont vulnérables à des failles dans la gestion d'authentifications et de sessions.
6
Exemple de cas
7
Suis-je vulnérable? Voici une liste de questions à se poser
Les identifiants sont-ils stockés de façon sécuritaires? Peut-on deviner ou modifier des identifiants via la gestion des comptes? L’ID de session apparaît-il dans l’URL? L’Id de session expire-t-il? Peut-on se déconnecter?
8
Comment faire pour éviter cette faille
9
Conclusion Dans la mesure du possible il est conseillé de ne pas développer son propre mécanisme d’authentification. Il est préférable d’utiliser un système existant éprouvé.
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.