Cet article est un mémo à but éducatif sur la cybersécurité. Ces pratiques ne doivent pas être utilisées illégalement et de manière contraire à l’éthique. Ce document a pour unique but de sensibiliser, d’instruire et de progresser en cybersécurité.
- Principe
- Manipuler les informations POST et GET envoyées au serveur
- Exemple de mise en place
- Un formulaire d’inscription contient un champ “role” qui permet de choisir entre les rôles suivants :
- 1 : Lecteur
- 2 : Ecrivain
- Imaginons le rôle caché 3 : Administrateur.
- Ce rôle n’est pas proposé parmi ceux du formulaire. Pourtant, un attaquant peut modifier sa requête pour envoyer la valeur 3 dans le champ “role”.
- Pour ce faire il est possible de procéder ainsi :
- Utiliser les outils d’inspection d’éléments des navigateurs.
- Modifier le champ “role” ainsi : <input type=”hidden” value=”3″ name=”role”>
- Soumettre le formulaire
- Pour ce faire il est possible de procéder ainsi :
- Un formulaire d’inscription contient un champ “role” qui permet de choisir entre les rôles suivants :
- Prévention possible :
- Vérifier les entrées des utilisateurs.
- N’autoriser que certaines valeurs.
- Utiliser le whitelisting plutôt que le blacklisting.
- N’autoriser que certaines valeurs.
- Effectuer les opérations qui ne doivent pas dépendre de l’utilisateur du côté serveur.
- Exemples :
- Déterminer un nombre aléatoire
- Déterminer une valeur relative à la date et l’heure
- Déterminer une information relative aux données du compte utilisateur
- Exemples :
- Vérifier les entrées des utilisateurs.
Laisser un commentaire