Vulnérabilités
Contrôle d'accès défaillant
Aussi appelé: BAC, Contournement d'autorisation
Définition
Catégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits.
Exemples
- Utilisateur normal appelant /api/admin/users sans vérification de rôle et obtenant la liste complète.
- Modifier l'UUID d'un document dans l'URL pour lire la facture d'un autre client.
Termes liés
Référence directe non sécurisée à un objet (IDOR)
Faille de contrôle d'accès où une application expose des références internes à des objets et permet à un utilisateur de les modifier pour accéder à des données qui ne lui appartiennent pas.
Élévation horizontale de privilèges
Faille permettant à un utilisateur d'accéder à des ressources ou actions d'un autre utilisateur de même niveau de privilège, sans obtenir de droits supérieurs.
Élévation verticale de privilèges
Vulnérabilité permettant à un utilisateur peu privilégié d'obtenir des droits supérieurs, généralement administrateur, root ou SYSTEM.
Authentification défaillante
Catégorie de vulnérabilités où des failles d'authentification ou de gestion de session permettent à un attaquant d'usurper des comptes légitimes.
OWASP Top 10
OWASP Top 10 — definition coming soon.
Principe du moindre privilège
Principe de sécurité accordant à chaque utilisateur, processus ou service uniquement les privilèges strictement nécessaires à sa fonction, et rien de plus.