Vulnérabilités
Élévation horizontale de privilèges
Aussi appelé: EoP horizontale, Accès inter-comptes
Définition
Faille permettant à un utilisateur d'accéder à des ressources ou actions d'un autre utilisateur de même niveau de privilège, sans obtenir de droits supérieurs.
Exemples
- Modifier userId dans /api/users/123/profile pour consulter le profil d'un autre utilisateur.
- Bug multi-locataire SaaS permettant au tenant A de lire les commandes du tenant B.
Termes liés
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.
Élévation verticale de privilèges
Vulnérabilité permettant à un utilisateur peu privilégié d'obtenir des droits supérieurs, généralement administrateur, root ou SYSTEM.
Référence directe non sécurisée à un objet (IDOR)
Faille de contrôle d'accès où une application expose des références internes à des objets et permet à un utilisateur de les modifier pour accéder à des données qui ne lui appartiennent pas.
Contrôle d'accès défaillant
Catégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits.
Authentification défaillante
Catégorie de vulnérabilités où des failles d'authentification ou de gestion de session permettent à un attaquant d'usurper des comptes légitimes.
API Security
API Security — definition coming soon.