Coder Conquer Security OWASP Top 10 API-Serie — Fehlerhafte Authentifizierung
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Die Authentifizierung dient oft als Gateway sowohl zu einer Anwendung als auch potenziell zum Rest eines Netzwerks, sodass sie ein verlockendes Ziel für Angreifer sind. Wenn ein Authentifizierungsprozess defekt oder anfällig ist, besteht eine gute Chance, dass Angreifer diese Schwachstelle entdecken und ausnutzen.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
