Applis Web – Classification des menaces

9 09 2008

Classification des menaces concernants les applications Webs par classe d’attaques:

  • Authentification
    Concerne les attaques qui ciblent le mécanisme d’authentification / validation d’identité

    • Brute Force
      L’attaque par force brute est une méthode utilisée pour trouver un mot de passe. Il s’agit de tester, une à une, toutes les combinaisons possibles. Celle-ci peut également être faite par dictionnaire, l’attaquant fournissant alors une liste de mot que le programme réalisant l’attaque pourra alors essayer un à un ou en créant des combinaisons.
    • Insufficient Authentication
      L’insuffisance d’authentification apparait lorsqu’il est possible d’accéder à un contenu restreint sans avoir eu besoin de fournir une authentification.
      Par exemple: un site fournit un accès à un contenu X. Lors de l’accès au site un formulaire demande à l’utilisateur de s’authentifier, mais la connaissance du chemin complet au contenu X permet d’y accéder sans qu’aucun problème d’identification n’apparaisse.
    • Weak password recovery validation
      Cette attaque est basé sur la possibilité à un utilisateur qui a perdu son mot de passe de le récuperer d’une manière triviale, avec par exemple la simple demande de la date de naissance de l’utilisateur.
  • Autorisations
    Concerne les attaques qui ont pour but d’élever les privilèges d’un utilisateur

    • Credential/Session prediction
      Cette attaque vise à outrepasser l’authentification en prédisant l’identifiant de session.  En analysant le processus de génération d’identifiant de session, l’attaquant pourra être en mesure de forger un identifiant de session valide et ainsi obtenir un accès à l’application.
    • Insufficient authorization
    • Insufficient session expiration
    • Session fixation
  • Attaques coté client
    • Content spoofing
    • Cross-site scripting
  • Exécution de commandes
    • Buffer overflow
    • Format String Attack
    • Ldap Injection
    • OS Commanding
    • SQL Injection
    • SSI Injection
    • XPath Injection
  • Fuite d’informations
    • Directory Indexing
    • Information Leakage
    • Path Traversal
    • Predictable Ressource Location
  • Attaques logiques
    • Abuse of functionnality
    • Denial of Service
    • Insufficient Anti-Automation
    • Insufficient Process Validation

Sources:

« »


Actions

Information

  • Date : septembre 9, 2008
  • Catégories : Security

Laisser un commentaire