La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Violation de Gestion d’authentification et de Session

Présentations similaires


Présentation au sujet: "Violation de Gestion d’authentification et de Session"— Transcription de la présentation:

1 Violation de Gestion d’authentification et de Session
3e faille au classement de l’OWASP

2 Introduction Les fonctions relatives à l’authentification et la gestion ne sont pas toujours mis en œuvre correctement. Ce qui ouvre une brèche pour des utilisateurs aux intentions malicieuses.

3 Description du problème
Agents de menace: les accès anonymes et les utilisateurs qui tentent d’avoir accès à d’autres comptes. La stratégie de l’attaquant est d’exploiter des fuites ou des faiblesses des gestionnaires de sessions et d’authentification pour usurper l’identité.

4 Impact d’une telle attaque?
Impact technique: L’attaquant accède au système sous une autre identité et en obtient les privilèges. Impact métier: Considérer la valeur marchande ou confidentielle des données ou fonctions exposées et de la divulgation de la vulnérabilité.

5 Environnement affectés
Tous les Framework d'applications web sont vulnérables à des failles dans la gestion d'authentifications et de sessions.

6 Exemple de cas

7 Suis-je vulnérable? Voici une liste de questions à se poser
Les identifiants sont-ils stockés de façon sécuritaires? Peut-on deviner ou modifier des identifiants via la gestion des comptes? L’ID de session apparaît-il dans l’URL? L’Id de session expire-t-il? Peut-on se déconnecter?

8 Comment faire pour éviter cette faille

9 Conclusion Dans la mesure du possible il est conseillé de ne pas développer son propre mécanisme d’authentification. Il est préférable d’utiliser un système existant éprouvé.


Télécharger ppt "Violation de Gestion d’authentification et de Session"

Présentations similaires


Annonces Google