程序员征服安全 OWASP 十大 API 系列-身份验证失效
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
身份验证通常既是应用程序的网关,也可能是通往网络其他部分的网关,因此它们是攻击者的诱人目标。如果身份验证过程中断或存在漏洞,攻击者很可能会发现该漏洞并加以利用。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Il n'est pas étonnant que l'authentification brisée figure sur la liste des problèmes d'API de l'OWASP - les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. Les mécanismes d'authentification sont notoirement difficiles à mettre en œuvre correctement. De plus, les attaquants ont un petit avantage car, de par leur nature même, la plupart des défis d'authentification doivent être exposés aux utilisateurs, ce qui leur donne l'occasion de les étudier et de rechercher des modèles ou des vulnérabilités qu'ils peuvent exploiter.
Enfin, comme l'authentification sert souvent de passerelle vers une application et potentiellement vers le reste d'un réseau, elle constitue une cible tentante pour les attaquants. Si un processus d'authentification est défaillant ou vulnérable, il y a de fortes chances que des attaquants découvrent cette faiblesse et l'exploitent.
Dans ce chapitre, nous allons donc apprendre à faire taire les méchants lorsqu'il s'agit de problèmes d'authentification. Si vous souhaitez d'abord tester vos compétences, rendez-vous sur notre site et jouez à notre défi ludique :
Vous voulez améliorer votre score ? Restez avec moi pour en savoir plus.
Quels sont les exemples d'une authentification défaillante ou mal configurée ?
Un exemple où le problème peut ne pas être aussi évident est celui d'une méthode d'authentification vulnérable au "credential stuffing", c'est-à-dire à l'utilisation de listes de noms d'utilisateur et de mots de passe connus pour enfreindre la sécurité. Même une méthode d'autorisation normalement très sûre, comme l'authentification multifactorielle, peut être vulnérable si les demandes ne sont pas limitées, étranglées ou contrôlées d'une autre manière.
Par exemple, un attaquant pourrait déclencher une demande de récupération de mot de passe en envoyant une requête POST à /api/system/verification-codes et en fournissant un nom d'utilisateur dans le corps de la requête. Si une application utilise un défi par message texte SMS où un code à six chiffres est envoyé au téléphone de l'utilisateur, mais que le champ de saisie n'est pas limité, l'application peut être piratée en quelques minutes seulement. Un pirate n'a qu'à envoyer toutes les combinaisons possibles de six chiffres dans l'application jusqu'à ce qu'il trouve la bonne.
Dans ce scénario, il semble que l'authentification à deux facteurs permette d'assurer la sécurité de l'application. Mais comme l'entrée de l'utilisateur n'est pas limitée par le taux, l'authentification est défaillante et vulnérable.
Dans un autre exemple, une application peut utiliser des objets utilisateur codés comme cookies d'authentification. Mais si un attaquant disposant d'un accès utilisateur de bas niveau décode ce cookie à l'aide de Base64, il peut découvrir comment le cookie définit les sessions et les utilisateurs de l'application. Par exemple, il pourrait voir le JSON suivant une fois décodé :
{
"username" : "ShadyGuy",
"role" : "user"
{
À ce stade, l'utilisateur malveillant peut modifier son nom d'utilisateur, son rôle ou les deux. Il peut devenir un autre utilisateur avec un niveau de privilège plus élevé en changeant quelques valeurs :
{
"username" : "GoodGuy",
"role" : "admin"
{
À ce stade, si l'attaquant recode les informations et les définit comme valeur du cookie, il devient essentiellement le nouvel utilisateur avec un niveau d'autorisation plus élevé. À moins que des méthodes soient en place pour empêcher un tel changement, il y a de fortes chances que l'application accepte la transformation.
Élimination des authentifications erronées ou mal configurées
Si l'authentification échoue, il y a de fortes chances que la sécurité de l'ensemble du système soit compromise. Le respect de quelques règles importantes lors du codage des applications peut toutefois contribuer à garantir la sécurité de l'ensemble.
Tout d'abord, veillez à inclure des contrôles d'authentification partout où les utilisateurs peuvent accéder aux fonctionnalités du programme. Si le contrôle d'authentification n'existe pas du tout, la bataille est perdue d'avance.
En termes de bonnes pratiques, une bonne chose à garder à l'esprit est d'éviter d'exposer les identifiants de session dans l'URL accessible aux utilisateurs. Dans le deuxième exemple ci-dessus concernant l'authentification brisée, il est beaucoup plus facile d'empêcher un attaquant d'essayer de décoder le cookie de session s'il n'y est jamais exposé.
C'est également une bonne idée de mettre en place une authentification multifactorielle. Celle-ci peut être réalisée en toute sécurité à l'aide de jetons matériels qui génèrent algorithmiquement des mots de passe selon un calendrier serré. Si vous n'êtes pas en mesure de fournir à vos utilisateurs des dispositifs de ce type, les SMS peuvent également faire l'affaire. Mais vous devez vous assurer que les demandes des utilisateurs sont limitées à quelque chose de raisonnable, comme trois ou quatre tentatives par période de 30 secondes, et que les codes expirent tous au bout de quelques minutes seulement. L'utilisation d'un code alphanumérique peut également améliorer la sécurité en ajoutant des lettres et des chiffres aux mots de passe potentiels.
Enfin, dans la mesure du possible, évitez d'utiliser des noms d'utilisateur ou des valeurs séquentielles prévisibles comme identifiants de session. Utilisez plutôt un gestionnaire de session sécurisé côté serveur qui génère à chaque fois un identifiant de session aléatoire.
La mise en œuvre de méthodes d'authentification sécurisées est un peu plus délicate que la lutte contre la vulnérabilité moyenne. Mais comme l'autorisation est si importante pour chaque application, programme et API, il vaut la peine de prendre le temps de s'assurer que vous y parvenez.
Consultez les pages du Secure Code Warrior pour en savoir plus sur cette vulnérabilité et sur la manière de protéger votre organisation et vos clients des ravages causés par d'autres failles de sécurité. Vous pouvez également essayer une démo de la plateforme de formation Secure Code Warrior pour maintenir vos compétences en cybersécurité à jour.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
