A propos
Publications
Coordonnées

Réseaux sociaux

Coordonnées

Région lyonnaise
www.matteo.bouliteau.fr

Mattéo Bouliteau Portfolio

Accueil

A propos
Publications
Coordonnées

Réseaux sociaux

Coordonnées

Région lyonnaise
www.matteo.bouliteau.fr

Vulnérabilité : POST & GET

Cet article est un mémo à but éducatif sur la cybersécurité. Ces pratiques ne doivent pas être utilisées illégalement et de manière contraire à l’éthique. Ce document a pour unique but de sensibiliser, d’instruire et de progresser en cybersécurité.

  • Principe
    • Manipuler les informations POST et GET envoyées au serveur
  • Exemple de mise en place
    • Un formulaire d’inscription contient un champ “role” qui permet de choisir entre les rôles suivants :
      • 1 : Lecteur
      • 2 : Ecrivain
    • Imaginons le rôle caché 3 : Administrateur.
    • Ce rôle n’est pas proposé parmi ceux du formulaire. Pourtant, un attaquant peut modifier sa requête pour envoyer la valeur 3 dans le champ “role”.
      • Pour ce faire il est possible de procéder ainsi :
        • Utiliser les outils d’inspection d’éléments des navigateurs.
        • Modifier le champ “role” ainsi : <input type=”hidden” value=”3″ name=”role”>
        • Soumettre le formulaire
  • Prévention possible :
    • Vérifier les entrées des utilisateurs.
      • N’autoriser que certaines valeurs.
        • Utiliser le whitelisting plutôt que le blacklisting.
    • Effectuer les opérations qui ne doivent pas dépendre de l’utilisateur du côté serveur.
      • Exemples :
        • Déterminer un nombre aléatoire
        • Déterminer une valeur relative à la date et l’heure
        • Déterminer une information relative aux données du compte utilisateur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *