Blog

Les codeurs conquièrent la sécurité : Share & Learn Series - Anti-automatisation insuffisante

Jaap Karan Singh
Publié le 04 avril 2019

Imaginez que vous franchissez la porte d'un vieux bar clandestin ou d'un club clandestin. Le petit trou dans la porte s'ouvre et un videur costaud demande le mot de passe. Le visiteur potentiel ne connaît pas le mot de passe et fait une supposition. Il se trompe et le videur ne le laisse pas entrer.

C'est ce qui se passe normalement. Imaginez maintenant que le visiteur qui a deviné le mauvais mot de passe réessaie immédiatement, se trompe et se voit à nouveau refuser l'accès. Imaginez ensuite que le visiteur potentiel ouvre le dictionnaire et commence à lire des mots, en commençant par quelque chose comme aardvark et en essayant tous les mots possibles.

Il est très probable que le videur ne permette pas ce genre d'activité, mais c'est précisément ce que font les sites web et les applications dont l'anti-automatisation est insuffisante. Ils permettent aux utilisateurs de continuer à essayer des mots de passe, même en utilisant des techniques d'automatisation, jusqu'à ce qu'ils tombent finalement sur la bonne phrase d'accroche.

Dans cet épisode, vous apprendrez

  • Comment les attaquants exploitent l'insuffisance de l'anti-automatisation
  • Pourquoi les applications dont l'anti-automatisation est insuffisante sont-elles dangereuses ?
  • Techniques permettant de corriger cette vulnérabilité.

Comment les attaquants exploitent-ils les insuffisances de la lutte contre l'automatisation ?

Le recours à l'automatisation ou aux attaques de type dictionnaire, comme l'a fait notre visiteur imaginaire dans un bar clandestin, n'est pas une nouveauté dans le domaine de la cybersécurité. En fait, ces attaques par force brute ont été parmi les premières techniques de piratage jamais déployées. Et à mesure que les ordinateurs devenaient plus rapides, ils devenaient de plus en plus efficaces. Un ordinateur rapide peut parcourir un dictionnaire entier de mots en quelques minutes seulement, en fonction de la vitesse de connexion entre l'ordinateur d'attaque et le système ciblé.

Ce type d'attaques automatisées est à l'origine de la création de logiciels et de techniques de lutte contre l'automatisation. Ils permettent aux applications de déterminer si les actions entreprises par un utilisateur sortent des normes du comportement humain typique.

Si une application ne dispose pas de contrôles anti-automatisation suffisants, les attaquants peuvent simplement continuer à deviner les mots de passe jusqu'à ce qu'ils trouvent une correspondance. Ils peuvent aussi utiliser un logiciel d'automatisation pour faire d'autres choses, comme spammer des commentaires dans des forums de sites web.

Pourquoi une anti-automatisation insuffisante est-elle dangereuse ?

Permettre à des utilisateurs malveillants de recourir à l'automatisation pour tenter de contourner la sécurité peut s'avérer dangereux. La raison pour laquelle les attaques de type automatisé ont persisté depuis les premiers jours de l'informatique jusqu'à aujourd'hui est qu'elles peuvent être très efficaces. Si vous donnez à un programme d'automatisation un temps illimité pour soumettre des mots de passe sans aucune conséquence en cas d'erreur, il finira par trouver le bon.

Lorsqu'ils sont utilisés sur un forum par exemple, les vagues de commentaires manifestement scriptés peuvent frustrer les utilisateurs valides, voire agir comme une sorte d'attaque par déni de service en dilapidant les ressources du système. La publication automatisée peut également être utilisée comme outil d'hameçonnage ou d'autres attaques afin d'exposer les leurres au plus grand nombre possible de personnes.

Résolution des problèmes d'anti-automatisation insuffisante

Pour résoudre le problème de l'insuffisance de l'anti-automatisation, toutes les applications doivent être dotées de la capacité de déterminer si les actions entreprises sont mises en œuvre par un humain ou par un logiciel d'automatisation. L'une des techniques les plus populaires et les plus utilisées est le test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains, ou CAPTCHA.

Le CAPTCHA est en fait un test de Turing, proposé pour la première fois par l'informaticien Alan Turing en 1950, qui permet de séparer et d'identifier le comportement humain de celui de l'ordinateur. Les CAPTCHA modernes présentent des problèmes que les humains peuvent facilement résoudre, mais que les ordinateurs ont du mal à résoudre ou qu'ils ne peuvent tout simplement pas comprendre. Un CAPTCHA populaire présente une photo séparée par une grille et demande aux utilisateurs d'identifier tous les secteurs contenant un élément spécifique, tel qu'une fleur ou un visage. L'ordinateur ne peut pas comprendre ce qui est demandé et ne peut donc même pas essayer de scanner l'image. Même s'il le pouvait, la reconnaissance d'images est hors de portée de la plupart des programmes qui ne sont pas spécifiquement conçus à cet effet.

D'autres exemples de CAPTCHA consistent à afficher un texte flou, à poser une question de logique simple ou même à jouer la question à haute voix. La mise en place d'un CAPTCHA à des moments critiques d'une application, par exemple lors de la demande d'un mot de passe, peut arrêter les programmes d'automatisation dans leur élan.

Il est également possible d'arrêter les programmes d'automatisation en limitant simplement le nombre de réponses erronées provenant de la même source. Si un trop grand nombre de réponses erronées sont envoyées, le compte peut être temporairement bloqué, ce qui retarde le programme d'automatisation au-delà de son utilité, ou peut même nécessiter l'intervention d'un administrateur humain pour le débloquer. Toutes ces mesures devraient permettre d'éviter les vulnérabilités anti-automatisation au sein d'une application.

Plus d'informations sur Insufficient Anti-Automation

Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'anti-automatisation insuffisante. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la façon de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Prêt à trouver et à réparer l'anti-automation insuffisante dès maintenant ? Testez vos compétences dans notre arène de jeu : [Commencer ici]

Voir la ressource
Voir la ressource

Si une application ne dispose pas de contrôles anti-automatisation suffisants, les attaquants peuvent simplement continuer à deviner les mots de passe jusqu'à ce qu'ils trouvent une correspondance. Voici comment les en empêcher.

Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Jaap Karan Singh
Publié le 04 avril 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Imaginez que vous franchissez la porte d'un vieux bar clandestin ou d'un club clandestin. Le petit trou dans la porte s'ouvre et un videur costaud demande le mot de passe. Le visiteur potentiel ne connaît pas le mot de passe et fait une supposition. Il se trompe et le videur ne le laisse pas entrer.

C'est ce qui se passe normalement. Imaginez maintenant que le visiteur qui a deviné le mauvais mot de passe réessaie immédiatement, se trompe et se voit à nouveau refuser l'accès. Imaginez ensuite que le visiteur potentiel ouvre le dictionnaire et commence à lire des mots, en commençant par quelque chose comme aardvark et en essayant tous les mots possibles.

Il est très probable que le videur ne permette pas ce genre d'activité, mais c'est précisément ce que font les sites web et les applications dont l'anti-automatisation est insuffisante. Ils permettent aux utilisateurs de continuer à essayer des mots de passe, même en utilisant des techniques d'automatisation, jusqu'à ce qu'ils tombent finalement sur la bonne phrase d'accroche.

Dans cet épisode, vous apprendrez

  • Comment les attaquants exploitent l'insuffisance de l'anti-automatisation
  • Pourquoi les applications dont l'anti-automatisation est insuffisante sont-elles dangereuses ?
  • Techniques permettant de corriger cette vulnérabilité.

Comment les attaquants exploitent-ils les insuffisances de la lutte contre l'automatisation ?

Le recours à l'automatisation ou aux attaques de type dictionnaire, comme l'a fait notre visiteur imaginaire dans un bar clandestin, n'est pas une nouveauté dans le domaine de la cybersécurité. En fait, ces attaques par force brute ont été parmi les premières techniques de piratage jamais déployées. Et à mesure que les ordinateurs devenaient plus rapides, ils devenaient de plus en plus efficaces. Un ordinateur rapide peut parcourir un dictionnaire entier de mots en quelques minutes seulement, en fonction de la vitesse de connexion entre l'ordinateur d'attaque et le système ciblé.

Ce type d'attaques automatisées est à l'origine de la création de logiciels et de techniques de lutte contre l'automatisation. Ils permettent aux applications de déterminer si les actions entreprises par un utilisateur sortent des normes du comportement humain typique.

Si une application ne dispose pas de contrôles anti-automatisation suffisants, les attaquants peuvent simplement continuer à deviner les mots de passe jusqu'à ce qu'ils trouvent une correspondance. Ils peuvent aussi utiliser un logiciel d'automatisation pour faire d'autres choses, comme spammer des commentaires dans des forums de sites web.

Pourquoi une anti-automatisation insuffisante est-elle dangereuse ?

Permettre à des utilisateurs malveillants de recourir à l'automatisation pour tenter de contourner la sécurité peut s'avérer dangereux. La raison pour laquelle les attaques de type automatisé ont persisté depuis les premiers jours de l'informatique jusqu'à aujourd'hui est qu'elles peuvent être très efficaces. Si vous donnez à un programme d'automatisation un temps illimité pour soumettre des mots de passe sans aucune conséquence en cas d'erreur, il finira par trouver le bon.

Lorsqu'ils sont utilisés sur un forum par exemple, les vagues de commentaires manifestement scriptés peuvent frustrer les utilisateurs valides, voire agir comme une sorte d'attaque par déni de service en dilapidant les ressources du système. La publication automatisée peut également être utilisée comme outil d'hameçonnage ou d'autres attaques afin d'exposer les leurres au plus grand nombre possible de personnes.

Résolution des problèmes d'anti-automatisation insuffisante

Pour résoudre le problème de l'insuffisance de l'anti-automatisation, toutes les applications doivent être dotées de la capacité de déterminer si les actions entreprises sont mises en œuvre par un humain ou par un logiciel d'automatisation. L'une des techniques les plus populaires et les plus utilisées est le test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains, ou CAPTCHA.

Le CAPTCHA est en fait un test de Turing, proposé pour la première fois par l'informaticien Alan Turing en 1950, qui permet de séparer et d'identifier le comportement humain de celui de l'ordinateur. Les CAPTCHA modernes présentent des problèmes que les humains peuvent facilement résoudre, mais que les ordinateurs ont du mal à résoudre ou qu'ils ne peuvent tout simplement pas comprendre. Un CAPTCHA populaire présente une photo séparée par une grille et demande aux utilisateurs d'identifier tous les secteurs contenant un élément spécifique, tel qu'une fleur ou un visage. L'ordinateur ne peut pas comprendre ce qui est demandé et ne peut donc même pas essayer de scanner l'image. Même s'il le pouvait, la reconnaissance d'images est hors de portée de la plupart des programmes qui ne sont pas spécifiquement conçus à cet effet.

D'autres exemples de CAPTCHA consistent à afficher un texte flou, à poser une question de logique simple ou même à jouer la question à haute voix. La mise en place d'un CAPTCHA à des moments critiques d'une application, par exemple lors de la demande d'un mot de passe, peut arrêter les programmes d'automatisation dans leur élan.

Il est également possible d'arrêter les programmes d'automatisation en limitant simplement le nombre de réponses erronées provenant de la même source. Si un trop grand nombre de réponses erronées sont envoyées, le compte peut être temporairement bloqué, ce qui retarde le programme d'automatisation au-delà de son utilité, ou peut même nécessiter l'intervention d'un administrateur humain pour le débloquer. Toutes ces mesures devraient permettre d'éviter les vulnérabilités anti-automatisation au sein d'une application.

Plus d'informations sur Insufficient Anti-Automation

Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'anti-automatisation insuffisante. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la façon de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Prêt à trouver et à réparer l'anti-automation insuffisante dès maintenant ? Testez vos compétences dans notre arène de jeu : [Commencer ici]

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Imaginez que vous franchissez la porte d'un vieux bar clandestin ou d'un club clandestin. Le petit trou dans la porte s'ouvre et un videur costaud demande le mot de passe. Le visiteur potentiel ne connaît pas le mot de passe et fait une supposition. Il se trompe et le videur ne le laisse pas entrer.

C'est ce qui se passe normalement. Imaginez maintenant que le visiteur qui a deviné le mauvais mot de passe réessaie immédiatement, se trompe et se voit à nouveau refuser l'accès. Imaginez ensuite que le visiteur potentiel ouvre le dictionnaire et commence à lire des mots, en commençant par quelque chose comme aardvark et en essayant tous les mots possibles.

Il est très probable que le videur ne permette pas ce genre d'activité, mais c'est précisément ce que font les sites web et les applications dont l'anti-automatisation est insuffisante. Ils permettent aux utilisateurs de continuer à essayer des mots de passe, même en utilisant des techniques d'automatisation, jusqu'à ce qu'ils tombent finalement sur la bonne phrase d'accroche.

Dans cet épisode, vous apprendrez

  • Comment les attaquants exploitent l'insuffisance de l'anti-automatisation
  • Pourquoi les applications dont l'anti-automatisation est insuffisante sont-elles dangereuses ?
  • Techniques permettant de corriger cette vulnérabilité.

Comment les attaquants exploitent-ils les insuffisances de la lutte contre l'automatisation ?

Le recours à l'automatisation ou aux attaques de type dictionnaire, comme l'a fait notre visiteur imaginaire dans un bar clandestin, n'est pas une nouveauté dans le domaine de la cybersécurité. En fait, ces attaques par force brute ont été parmi les premières techniques de piratage jamais déployées. Et à mesure que les ordinateurs devenaient plus rapides, ils devenaient de plus en plus efficaces. Un ordinateur rapide peut parcourir un dictionnaire entier de mots en quelques minutes seulement, en fonction de la vitesse de connexion entre l'ordinateur d'attaque et le système ciblé.

Ce type d'attaques automatisées est à l'origine de la création de logiciels et de techniques de lutte contre l'automatisation. Ils permettent aux applications de déterminer si les actions entreprises par un utilisateur sortent des normes du comportement humain typique.

Si une application ne dispose pas de contrôles anti-automatisation suffisants, les attaquants peuvent simplement continuer à deviner les mots de passe jusqu'à ce qu'ils trouvent une correspondance. Ils peuvent aussi utiliser un logiciel d'automatisation pour faire d'autres choses, comme spammer des commentaires dans des forums de sites web.

Pourquoi une anti-automatisation insuffisante est-elle dangereuse ?

Permettre à des utilisateurs malveillants de recourir à l'automatisation pour tenter de contourner la sécurité peut s'avérer dangereux. La raison pour laquelle les attaques de type automatisé ont persisté depuis les premiers jours de l'informatique jusqu'à aujourd'hui est qu'elles peuvent être très efficaces. Si vous donnez à un programme d'automatisation un temps illimité pour soumettre des mots de passe sans aucune conséquence en cas d'erreur, il finira par trouver le bon.

Lorsqu'ils sont utilisés sur un forum par exemple, les vagues de commentaires manifestement scriptés peuvent frustrer les utilisateurs valides, voire agir comme une sorte d'attaque par déni de service en dilapidant les ressources du système. La publication automatisée peut également être utilisée comme outil d'hameçonnage ou d'autres attaques afin d'exposer les leurres au plus grand nombre possible de personnes.

Résolution des problèmes d'anti-automatisation insuffisante

Pour résoudre le problème de l'insuffisance de l'anti-automatisation, toutes les applications doivent être dotées de la capacité de déterminer si les actions entreprises sont mises en œuvre par un humain ou par un logiciel d'automatisation. L'une des techniques les plus populaires et les plus utilisées est le test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains, ou CAPTCHA.

Le CAPTCHA est en fait un test de Turing, proposé pour la première fois par l'informaticien Alan Turing en 1950, qui permet de séparer et d'identifier le comportement humain de celui de l'ordinateur. Les CAPTCHA modernes présentent des problèmes que les humains peuvent facilement résoudre, mais que les ordinateurs ont du mal à résoudre ou qu'ils ne peuvent tout simplement pas comprendre. Un CAPTCHA populaire présente une photo séparée par une grille et demande aux utilisateurs d'identifier tous les secteurs contenant un élément spécifique, tel qu'une fleur ou un visage. L'ordinateur ne peut pas comprendre ce qui est demandé et ne peut donc même pas essayer de scanner l'image. Même s'il le pouvait, la reconnaissance d'images est hors de portée de la plupart des programmes qui ne sont pas spécifiquement conçus à cet effet.

D'autres exemples de CAPTCHA consistent à afficher un texte flou, à poser une question de logique simple ou même à jouer la question à haute voix. La mise en place d'un CAPTCHA à des moments critiques d'une application, par exemple lors de la demande d'un mot de passe, peut arrêter les programmes d'automatisation dans leur élan.

Il est également possible d'arrêter les programmes d'automatisation en limitant simplement le nombre de réponses erronées provenant de la même source. Si un trop grand nombre de réponses erronées sont envoyées, le compte peut être temporairement bloqué, ce qui retarde le programme d'automatisation au-delà de son utilité, ou peut même nécessiter l'intervention d'un administrateur humain pour le débloquer. Toutes ces mesures devraient permettre d'éviter les vulnérabilités anti-automatisation au sein d'une application.

Plus d'informations sur Insufficient Anti-Automation

Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'anti-automatisation insuffisante. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la façon de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Prêt à trouver et à réparer l'anti-automation insuffisante dès maintenant ? Testez vos compétences dans notre arène de jeu : [Commencer ici]

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Jaap Karan Singh
Publié le 04 avril 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Imaginez que vous franchissez la porte d'un vieux bar clandestin ou d'un club clandestin. Le petit trou dans la porte s'ouvre et un videur costaud demande le mot de passe. Le visiteur potentiel ne connaît pas le mot de passe et fait une supposition. Il se trompe et le videur ne le laisse pas entrer.

C'est ce qui se passe normalement. Imaginez maintenant que le visiteur qui a deviné le mauvais mot de passe réessaie immédiatement, se trompe et se voit à nouveau refuser l'accès. Imaginez ensuite que le visiteur potentiel ouvre le dictionnaire et commence à lire des mots, en commençant par quelque chose comme aardvark et en essayant tous les mots possibles.

Il est très probable que le videur ne permette pas ce genre d'activité, mais c'est précisément ce que font les sites web et les applications dont l'anti-automatisation est insuffisante. Ils permettent aux utilisateurs de continuer à essayer des mots de passe, même en utilisant des techniques d'automatisation, jusqu'à ce qu'ils tombent finalement sur la bonne phrase d'accroche.

Dans cet épisode, vous apprendrez

  • Comment les attaquants exploitent l'insuffisance de l'anti-automatisation
  • Pourquoi les applications dont l'anti-automatisation est insuffisante sont-elles dangereuses ?
  • Techniques permettant de corriger cette vulnérabilité.

Comment les attaquants exploitent-ils les insuffisances de la lutte contre l'automatisation ?

Le recours à l'automatisation ou aux attaques de type dictionnaire, comme l'a fait notre visiteur imaginaire dans un bar clandestin, n'est pas une nouveauté dans le domaine de la cybersécurité. En fait, ces attaques par force brute ont été parmi les premières techniques de piratage jamais déployées. Et à mesure que les ordinateurs devenaient plus rapides, ils devenaient de plus en plus efficaces. Un ordinateur rapide peut parcourir un dictionnaire entier de mots en quelques minutes seulement, en fonction de la vitesse de connexion entre l'ordinateur d'attaque et le système ciblé.

Ce type d'attaques automatisées est à l'origine de la création de logiciels et de techniques de lutte contre l'automatisation. Ils permettent aux applications de déterminer si les actions entreprises par un utilisateur sortent des normes du comportement humain typique.

Si une application ne dispose pas de contrôles anti-automatisation suffisants, les attaquants peuvent simplement continuer à deviner les mots de passe jusqu'à ce qu'ils trouvent une correspondance. Ils peuvent aussi utiliser un logiciel d'automatisation pour faire d'autres choses, comme spammer des commentaires dans des forums de sites web.

Pourquoi une anti-automatisation insuffisante est-elle dangereuse ?

Permettre à des utilisateurs malveillants de recourir à l'automatisation pour tenter de contourner la sécurité peut s'avérer dangereux. La raison pour laquelle les attaques de type automatisé ont persisté depuis les premiers jours de l'informatique jusqu'à aujourd'hui est qu'elles peuvent être très efficaces. Si vous donnez à un programme d'automatisation un temps illimité pour soumettre des mots de passe sans aucune conséquence en cas d'erreur, il finira par trouver le bon.

Lorsqu'ils sont utilisés sur un forum par exemple, les vagues de commentaires manifestement scriptés peuvent frustrer les utilisateurs valides, voire agir comme une sorte d'attaque par déni de service en dilapidant les ressources du système. La publication automatisée peut également être utilisée comme outil d'hameçonnage ou d'autres attaques afin d'exposer les leurres au plus grand nombre possible de personnes.

Résolution des problèmes d'anti-automatisation insuffisante

Pour résoudre le problème de l'insuffisance de l'anti-automatisation, toutes les applications doivent être dotées de la capacité de déterminer si les actions entreprises sont mises en œuvre par un humain ou par un logiciel d'automatisation. L'une des techniques les plus populaires et les plus utilisées est le test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains, ou CAPTCHA.

Le CAPTCHA est en fait un test de Turing, proposé pour la première fois par l'informaticien Alan Turing en 1950, qui permet de séparer et d'identifier le comportement humain de celui de l'ordinateur. Les CAPTCHA modernes présentent des problèmes que les humains peuvent facilement résoudre, mais que les ordinateurs ont du mal à résoudre ou qu'ils ne peuvent tout simplement pas comprendre. Un CAPTCHA populaire présente une photo séparée par une grille et demande aux utilisateurs d'identifier tous les secteurs contenant un élément spécifique, tel qu'une fleur ou un visage. L'ordinateur ne peut pas comprendre ce qui est demandé et ne peut donc même pas essayer de scanner l'image. Même s'il le pouvait, la reconnaissance d'images est hors de portée de la plupart des programmes qui ne sont pas spécifiquement conçus à cet effet.

D'autres exemples de CAPTCHA consistent à afficher un texte flou, à poser une question de logique simple ou même à jouer la question à haute voix. La mise en place d'un CAPTCHA à des moments critiques d'une application, par exemple lors de la demande d'un mot de passe, peut arrêter les programmes d'automatisation dans leur élan.

Il est également possible d'arrêter les programmes d'automatisation en limitant simplement le nombre de réponses erronées provenant de la même source. Si un trop grand nombre de réponses erronées sont envoyées, le compte peut être temporairement bloqué, ce qui retarde le programme d'automatisation au-delà de son utilité, ou peut même nécessiter l'intervention d'un administrateur humain pour le débloquer. Toutes ces mesures devraient permettre d'éviter les vulnérabilités anti-automatisation au sein d'une application.

Plus d'informations sur Insufficient Anti-Automation

Pour en savoir plus, vous pouvez consulter ce que dit l'OWASP à propos de l'anti-automatisation insuffisante. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité pour qu'elles deviennent les meilleurs cyber-guerriers. Pour en savoir plus sur la façon de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Prêt à trouver et à réparer l'anti-automation insuffisante dès maintenant ? Testez vos compétences dans notre arène de jeu : [Commencer ici]

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles