Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
Se protéger des failles de sécurité IDOR
Rodolphe - Alsacreations -
22/05
IDOR signifie Insecure Direct Object Reference, soit « Référence directe non sécurisée à un objet ». Si le nom est un peu pompeux, la faille est très basique, et a défrayé l'actualité récemment.
Il existe des failles de sécurité spectaculaires, celles qui nécessitent des semaines de reverse engineering au fin fond de la Sibérie et une capuche noire. Et puis il y a les failles IDOR : n'importe qui avec un navigateur et quelques minutes devant lui peut les exploiter. Ce qui les rend bien plus dangereuses.
Le principe : votre application ou site web expose un identifiant dans une URL, un champ de formulaire, un paramètre d'API, qui pointe directement vers une ressource en base de données. Par exemple un numéro de commande, un identifiant de facture.
https://monapp.com/facture?id=1042
Vous consultez votre facture n°1042. Par curiosité (ou malveillance), vous remplacez 1042 par 1041 dans la barre d'adresse. Et hop — vous voilà en train de lire la facture de votre voisin. Félicitations, vous venez de découvrir une faille IDOR.
Si côté serveur vous ne vérifiez pas que l'utilisateur connec... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité