Vulnérabilités
Élévation de privilèges
Aussi appelé: Élévation de droits, EoP
Définition
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.
Exemples
- Bug du noyau Linux permettant à un utilisateur normal d'exécuter du code en root.
- IDOR dans une application SaaS permettant à un locataire de lire les enregistrements d'un autre.
Termes liés
Élévation verticale de privilèges
Vulnérabilité permettant à un utilisateur peu privilégié d'obtenir des droits supérieurs, généralement administrateur, root ou SYSTEM.
Élévation horizontale de privilèges
Faille permettant à un utilisateur d'accéder à des ressources ou actions d'un autre utilisateur de même niveau de privilège, sans obtenir de droits supérieurs.
Contrôle d'accès défaillant
Catégorie de vulnérabilités où les règles d'autorisation sont absentes ou mal appliquées, permettant à des utilisateurs d'effectuer des actions ou d'accéder à des données hors de leurs droits.
Référence directe non sécurisée à un objet (IDOR)
Faille de contrôle d'accès où une application expose des références internes à des objets et permet à un utilisateur de les modifier pour accéder à des données qui ne lui appartiennent pas.
Principe du moindre privilège
Principe de sécurité accordant à chaque utilisateur, processus ou service uniquement les privilèges strictement nécessaires à sa fonction, et rien de plus.
Exploit
Code, données ou technique exploitant une vulnérabilité pour provoquer un comportement non prévu : exécution de code, élévation de privilèges, fuite d'informations.