Sommaire

Manque de contrôle d’accès au niveau fonctionnel

1. Présentation et risques

Le manque de contrôle d’accès est un risque lié à des vulnérabilités retrouvées dans la gestion des droits d’une application, des défauts de conception ou l’utilisation de fonctions appropriées à l’intérieur du code. L’attaquant peut alors accéder à des fonctionnalités non autorisées, voire compromettre le site, avec des attaques du type déni de service (DoS, DDoS). Voici l’évaluation du risque selon l’OWASP :

images/03EP58.png

L’exploitabilité d’un tel risque pour un attaquant, la prévalence, la détection et son impact technique peuvent s’avérer modérés selon l’OWASP.

2. Local/remote file inclusion

Les local/remote file inclusion (LFI/RFI) rapidement présentés lors de la section sur le risque 2 du top 10 OWASP sur la violation de gestion d’authentification et de session est une vulnérabilité bien connue du monde de la cybersécurité. Pour rappel, ces vulnérabilités exploitent une mauvaise conception dans le code utilisant des fonctions de type include() en PHP ayant par exemple pour utilité d’inclure une autre page web à l’intérieur de la page actuellement consultée. Voici un exemple de code vulnérable :

<?php 
   $itemMenu = $_GET[’menu’];  ...