LA FAILLE COOKIES ? QUE NENNI !
Par Juliian
Une faille cookies permet, dans une configuration bien spéciale, d'utiliser un cookie de connexion pour le transformer en celui de quelqu'un d'autre.
Pourquoi ?
Si à la connexion à la section membre, l'individu se logue avec ses identifiants, reçoit donc son petit cookie (et ne le reçoit que si il a entré des identifiants corrects) et voit donc son nom d'utilisateur dans son cookie, et seulement son nom d'utilisateur apparaitre, le script remplit son rôle, vos pages vérifient que le cookie existe, et utilise son nom d'utilisateur pour ses droits d'accès. Mais il y a un problème. L'utilisateur mal intentionné peut tout de même déjouer votre sécurité. Certes, il a bien utilisé des identifiants, il a donc reçu un cookie automatiquement généré, et tout ça, mais une fois qu'il a le cookie ? Il change son nom, et hop hop hop, ni une ni deux, il se retrouve avec votre nom d'utilisateur, et peut faire ce qu'il lui plait.
Comment pallier à ce probleme ?
En stockant le nom d'utilisateur et le mot de passe dans les cookies, ainsi, même si la personne change le nom d'utilisateur, le mot de passe ne conviendra toujours pas.
LA FAILLE URLDECODE() DANS LES REQUETES SQL
Par Savory
[En cours de refonte]
LA FAILLE REQUIRE()
par Savory
[En cours de refonte]
Il y a 0 commentaire(s) pour cette article
Laisser un commentaire
Nous apprécions tout commentaire posté dans l'article du blog et nous nous y prêteront attention tout particulièrement.