A1 Controles dacces defaillant Flashcards
Description dun controle dacces defaillant
des permissions sont appliquer aux usagers pour controler ce quils peuvent et ne pas faire dans une application. Les permissions sont gérées dans un systeme de controle dacces. Un controle defaillant signifie donc que certaines permissions ne sont pas bien implantées, pensées ou appliquées.
quel est la cible
Données ou services
Quels sont les types dattaque
-Parcours de répertoire
-Elevation de privilege
-Acces aux comptes d’autre utilisateur url
-Etre trop permissif: fonction inacessible par defaut
-Altérer parametres, url ou contenu dune requete pour bypass les controle dacces
-Permettre une elevation de privilege grace a une erreur logicielle ou defaut de conception
-Altérer les metadonnes dont les jetons de connexion
-Forcer la navigation pour acceder a des pages privilegiees
-Ne pas se soucier de lorigine des ressources
-Permettre des modification/insertion/suppression sans controle dacces
quels sont les mesures de protection
-Refuser tout les acces par defaut
-Module dautorisation flexible et reutilisable
-Controle dacces par role (RBAC)
-Desactiver les listes de dossiers
-Journalisation des acces bloqués
-Limiter le nombre de requetes aux API
-Supprimez tous les comptes inactifs ou inutilies
-Fermes les points dacces inutiles
-Eliminer les services qui ne sont pas nécessaires sur votre serveur
-Path traversal (Encodage des entrées)
