Attaques et menaces
Empoisonnement de cookies
Définition
Attaque modifiant le contenu des cookies HTTP avant qu'ils ne soient renvoyés à une application web, afin d'altérer les décisions de confiance, d'identité ou de logique métier.
Exemples
- Un utilisateur change le cookie role=user en role=admin et accède aux pages d'administration faute de contrôle d'intégrité.
- Un site e-commerce stocke le prix dans un cookie ; l'attaquant le modifie avant paiement et paie un centime pour l'article.
Termes liés
Détournement de cookies
Vol et réutilisation des cookies HTTP d'un utilisateur — typiquement de session ou d'authentification — pour usurper son identité auprès d'une application web.
Détournement de session
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
Manipulation de paramètres
Attaque dans laquelle l'adversaire modifie des paramètres de requête HTTP, des cookies ou des champs cachés pour manipuler le comportement de l'application.
Contrôle d'accès défaillant
Catégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits.
Cross-Site Scripting (XSS)
Vulnérabilité web permettant à un attaquant d'injecter des scripts malveillants dans des pages consultées par d'autres utilisateurs, exécutés dans leur navigateur sous l'origine du site.
Session Management
Session Management — definition coming soon.