La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Violation de Gestion d’authentification et de Session

Publié parViolette Roland Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Violation de Gestion d’authentification et de Session"— Transcription de la présentation:

1 Violation de Gestion d’authentification et de Session
3e faille au classement de l’OWASP

2 Introduction Les fonctions relatives à l’authentification et la gestion ne sont pas toujours mis en œuvre correctement. Ce qui ouvre une brèche pour des utilisateurs aux intentions malicieuses.

3 Description du problème
Agents de menace: les accès anonymes et les utilisateurs qui tentent d’avoir accès à d’autres comptes. La stratégie de l’attaquant est d’exploiter des fuites ou des faiblesses des gestionnaires de sessions et d’authentification pour usurper l’identité.

4 Impact d’une telle attaque?
Impact technique: L’attaquant accède au système sous une autre identité et en obtient les privilèges. Impact métier: Considérer la valeur marchande ou confidentielle des données ou fonctions exposées et de la divulgation de la vulnérabilité.

5 Environnement affectés
Tous les Framework d'applications web sont vulnérables à des failles dans la gestion d'authentifications et de sessions.

6 Exemple de cas

7 Suis-je vulnérable? Voici une liste de questions à se poser
Les identifiants sont-ils stockés de façon sécuritaires? Peut-on deviner ou modifier des identifiants via la gestion des comptes? L’ID de session apparaît-il dans l’URL? L’Id de session expire-t-il? Peut-on se déconnecter?

8 Comment faire pour éviter cette faille

9 Conclusion Dans la mesure du possible il est conseillé de ne pas développer son propre mécanisme d’authentification. Il est préférable d’utiliser un système existant éprouvé.

Télécharger ppt "Violation de Gestion d’authentification et de Session"

Présentations similaires

Pour se connecter à Pronote (Espace Parents )

Pour se connecter à Pronote (Espace Parents )
Sécurité informatique

Sécurité informatique
UTILISATION DE LAPPLICATION e-SIN Les accès sécurisés.

UTILISATION DE LAPPLICATION e-SIN Les accès sécurisés.
Modélisation des menaces

Modélisation des menaces
La sécurité dans Sharepoint

La sécurité dans Sharepoint
Les Excel Services de Office 2007

Les Excel Services de Office 2007
Copyright 2013 © Consortium ESUP-Portail Chainage de serveur CAS ESUP-Days 16, Paris 02 juillet 2013 Julien Marchal – Université de Lorraine.

Copyright 2013 © Consortium ESUP-Portail Chainage de serveur CAS ESUP-Days 16, Paris 02 juillet 2013 Julien Marchal – Université de Lorraine.
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Audit technique et analyse de code

Audit technique et analyse de code
Windows 2000 Architecture de Sécurité. Modèle de sécurité Windows 2000.

Windows 2000 Architecture de Sécurité. Modèle de sécurité Windows 2000.
Xavier Tannier Yann Jacob Sécurite Web.

Xavier Tannier Yann Jacob Sécurite Web.
! ! ! PROCEDURE TYPE POUR ORGANISER L ’ANONYMAT

! ! ! PROCEDURE TYPE POUR ORGANISER L ’ANONYMAT
Le mécanisme de Single Sign-On CAS (Central Authentication Service)

Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Sécurité Informatique

Sécurité Informatique
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.

MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Les profils utilisateurs. Concept La notion dutilisateur est héritée des systèmes Unix Permet de gérer au mieux la sécurité et lappel aux diverses fonctions.

Les profils utilisateurs. Concept La notion dutilisateur est héritée des systèmes Unix Permet de gérer au mieux la sécurité et lappel aux diverses fonctions.
1 Comment utiliser votre Extranet 1. 2 1.Se connecter 2.My Site 3.Documentation 3.1 Documents dintégration 3.2 Documents types 4.Vos informations privées.

1 Comment utiliser votre Extranet Se connecter 2.My Site 3.Documentation 3.1 Documents dintégration 3.2 Documents types 4.Vos informations privées.
Développement dapplications web Initiation à la sécurité 1.

Développement dapplications web Initiation à la sécurité 1.
Module 1 : Préparation de l'administration d'un serveur

Module 1 : Préparation de l'administration d'un serveur
Windows 7 Administration des comptes utilisateurs

Windows 7 Administration des comptes utilisateurs

Présentations similaires

Annonces Google