Vaadata’s Blog - Website and mobile app security

Technique 7 avril 2023

Détournement de session (Hijacking) : principes, types d’attaques et exploitations

Le contrôle d’accès est un élément central pour garantir la sécurité des applications web. Il doit reposer sur une authentification robuste et une gestion des sessions tenant compte des divers risques sécurité, comme le détournement de session (session hijacking).

Exploitation XSS, fixation de session, absence de chiffrement, contournement de MFA, etc., il existe de nombreuses techniques pour détourner la session d’un utilisateur. Dans cet article, nous présentons les principales attaques et exploitations.

Solutions 27 mars 2023

Top 10 OWASP #1 : sécurité et vulnérabilités du contrôle d’accès

L’OWASP (Open Web Application Security Project) est une communauté qui œuvre à l’amélioration de la sécurité des systèmes d’information.

Cette organisation produit de nombreuses ressources, notamment des guides et normes de sécurité des applications dont l’OWASP Top 10. Elle développe également des outils open source comme ZAP (un proxy d’interception, alternative à BURP), ou Amass (pour cartographier sa surface d’attaque).

Technique 21 février 2023

Exploitation d’une injection HTML avec dangling markup

Lors d’un test d’intrusion d’application web, nous sommes tombés sur la situation suivante.

Solutions 14 février 2023

Authentification multifacteur (MFA) : principes, types d’attaques, exploitations et bonnes pratiques sécurité

Authentification multifacteur (MFA) : principes, attaques et mesures sécurité

L’authentification multifacteur (abrégé MFA pour multifactor authentication) est un mécanisme central qui permet de renforcer la sécurité des comptes et des accès utilisateurs sur un système.

En effet, c’est une méthode d’authentification qui permet de prévenir de nombreuses attaques et exploitations malveillantes visant la compromission de données : brute force, détournement de session, élévation de privilèges, etc.

Solutions 7 février 2023

Pseudonymisation des données : principes, techniques et bonnes pratiques

En quoi consiste la pseudonymisation de données ?

La pseudonymisation est une technique de protection des données, qui consiste à traiter des données de telle sorte qu’il ne soit pas possible de les attribuer à une personne spécifique sans avoir recours à des informations additionnelles. En effet, plus concrètement, il s’agit de remplacer les identificateurs personnels réels (noms, prénoms, emails, adresses, numéros de téléphone, etc.) avec des pseudonymes.

Technique 5 février 2023

Failles IDOR (Insecure Direct Object Reference) : principes, attaques, mesures et tests sécurité

Les IDOR (pour Insecure Direct Object Reference) sont des vulnérabilités très répandues dans les applications web au même titre que les failles XSS ou les injections SQL. Affiliées aux problèmes de droits, les failles IDOR sont en effet parmi celles que nous découvrons et exploitons le plus couramment lors de nos tests d’intrusion d’applications web.

Principes, scénarios d’attaques et exploitations, nous vous présentons dans cet article une vue d’ensemble des IDOR, ainsi que les bonnes pratiques sécurité et tests de droits à réaliser pour prévenir les risques d’attaques.

Solutions 27 janvier 2023

Élévation de privilèges sur systèmes Linux : techniques et bonnes pratiques sécurité

En quoi consiste l’élévation de privilèges ?

L’élévation de privilèges est un concept clé pour les attaquants qui cherchent à accéder à des informations sensibles ou à des fonctionnalités restreintes sur un système informatique. Généralement, cela consiste à exploiter des faiblesses de sécurité dans un système donné pour passer d’un niveau d’accès limité, avec des autorisations standards, à un niveau d’accès plus élevé, avec des droits plus importants.

Sur les systèmes Linux, il existe plusieurs techniques pour élever les privilèges d’un utilisateur. L’exploitation de faiblesses de configuration, les vulnérabilités présentes dans les programmes et la mauvaise gestion de droits en sont les principales.

Technique 26 janvier 2023

Exploitation d’un manque de contrôle de droits sur GraphQL

Lors d’un pentest d’application web, nous avons découvert une vulnérabilité liée à la configuration et à la mauvaise gestion des contrôles de droits sur GraphQL.

Technique 19 janvier 2023

ORM : exploitation relations en cascade et défaut de validation entrées utilisateur

En 2021, le top 10 de l’OWASP, qui met en lumière les vulnérabilités les plus courantes des applications, a quelque peu évolué. En effet les failles d’injection, auparavant les plus critiques, se retrouvent désormais sur la troisième marche du podium.

Cela peut s’expliquer notamment par le fait que les développeurs prennent davantage conscience des risques liés aux vulnérabilités d’injections via la mise en œuvre d’outils et de pratiques plus sûrs pour le développement d’applications. Et évidemment LA mesure essentielle pour limiter le risque d’injection SQL consiste en l’utilisation de requêtes préparées.

Pour ce faire, on utilise généralement un ORM, ce qui peut introduire de nouveaux risques comme nous allons le voir dans cet article.

Solutions 12 janvier 2023

Désérialisation : vulnérabilités, exploitations et bonnes pratiques sécurité

Deserialisation_vulnerabilites_exploitation

Lorsqu’on développe un jeu, on peut avoir besoin de sauvegarder la partie d’un joueur dans un fichier pour ne pas perdre sa progression afin qu’il puisse revenir là où il en était. De la même manière, quand on développe un éditeur de texte en ligne, on peut vouloir préserver le contenu que l’utilisateur a écrit.

En effet, il y a beaucoup de cas où l’on souhaite sauvegarder l’état de notre application pour le rétablir dans le futur. Deux termes sont utilisés pour définir ce processus : la sérialisation et la désérialisation.

Solutions 2 janvier 2023

Qu’est-ce que le Rate limiting ? Fonctionnement et techniques d’implémentation

En quoi consiste le rate limiting ?

Rate limiting fonctionnement implementation

Lors de nos pentests sur des plateformes web, un des principaux vecteurs d’attaque que nous utilisons le plus souvent pour découvrir et exploiter des vulnérabilités est le manque de rate limiting (ou limitation de débit).

Partant de ce principe, nous estimons que toute application web se verra, tôt ou tard, confrontée à une attaque générant beaucoup de trafic. Celles-ci peuvent se présenter sous plusieurs formes, mais les principales sont les suivantes :

Technique 16 décembre 2022

Deep links : fonctionnement, vulnérabilités, attaques et bonnes pratiques sécurité

Qu’est-ce qu’un deep link ?

Deep Links attaques bonnes pratiques securite

Les deep links sont des URI (Uniform Resource Identifier) prédéfinies qui permettent d’accéder directement à une activité dans une application web ou mobile lorsque l’on clique dessus.

Ces liens se trouvent généralement sur des pages au sein d’une application web ou dans les webviews d’une application mobile. Lorsque l’utilisateur clique sur un deep link, et qu’il possède l’application permettant d’ouvrir ce type de lien, une popup lui propose d’ouvrir le lien avec l’application correspondante.

Technique 13 décembre 2022

Exploitation d’une injection SQL avec contournement de WAF

Découverte d’une injection SQL avec le scanner de BURP

Lors d’un pentest, nous sommes tombés sur cette situation :

Découverte d'une injection SQL lors d'un pentest

Qui sommes-nous ?
Vaadata est une société spécialisée en pentest. Nous sommes passionnés par la sécurité, à la fois pour ses défis techniques et pour ses enjeux de société.
Langue
- Anglais
- Français
TOUS NOS ARTICLES
Catégories
Articles récents
Rechercher

Search for:
Restons connectés !
Recevez des informations sécurité (sélection d’articles, évènements, formations …) max. 1 envoi par mois