Contrôle d'accès défaillant
Qu'est-ce que Contrôle d'accès défaillant ?
Contrôle d'accès défaillantCatégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits.
Le contrôle d'accès défaillant est le risque n°1 du Top 10 OWASP. Il survient lorsqu'une application n'applique pas systématiquement qui peut faire quoi : vérifications absentes côté serveur, confiance dans des URLs cachées (sécurité par obscurité), confiance dans des rôles fournis par le client, références directes à des objets sans vérification de propriété. Variantes : IDOR, navigation forcée vers des pages admin, contournement par manipulation de paramètres, altération de scopes JWT. L'impact va de la fuite d'informations à la compromission totale. Défenses : middleware d'autorisation centralisé, refus par défaut, application côté serveur pour chaque action, requêtes scoping utilisateur/tenant, tests d'intégration approfondis et DAST continu.
● Exemples
- 01
Utilisateur normal appelant /api/admin/users sans vérification de rôle et obtenant la liste complète.
- 02
Modifier l'UUID d'un document dans l'URL pour lire la facture d'un autre client.
● Questions fréquentes
Qu'est-ce que Contrôle d'accès défaillant ?
Catégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Contrôle d'accès défaillant ?
Catégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits.
Comment se défendre contre Contrôle d'accès défaillant ?
Les défenses contre Contrôle d'accès défaillant combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Contrôle d'accès défaillant ?
Noms alternatifs courants : BAC, Contournement d'autorisation.