Coder Conquer Security OWASP Top 10 API-Serie — Fehlerhafte Authentifizierung
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Die Authentifizierung dient oft als Gateway sowohl zu einer Anwendung als auch potenziell zum Rest eines Netzwerks, sodass sie ein verlockendes Ziel für Angreifer sind. Wenn ein Authentifizierungsprozess defekt oder anfällig ist, besteht eine gute Chance, dass Angreifer diese Schwachstelle entdecken und ausnutzen.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Table des matières
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
La puissance de la sécurité des applications OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.