Vulnérabilités
Authentification défaillante
Aussi appelé: Défauts d'identification et d'authentification, Contournement d'authentification
Définition
Catégorie de vulnérabilités où des failles d'authentification ou de gestion de session permettent à un attaquant d'usurper des comptes légitimes.
Exemples
- Application qui place l'ID de session dans l'URL et ne le renouvelle pas après login.
- Réinitialisation de mot de passe avec un jeton numérique à 4 chiffres envoyé par e-mail.
Termes liés
Contrôle d'accès défaillant
Catégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits.
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
Détournement de session
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
Session Fixation
Session Fixation — definition coming soon.
Authentification multifacteur (MFA)
Méthode d'authentification exigeant au moins deux facteurs indépendants — généralement de catégories différentes — avant d'accorder l'accès.
OWASP Top 10
OWASP Top 10 — definition coming soon.