Sommaire

Références directes non sécurisées à un objet

1. Présentation et risques

Les références directes non sécurisées à un objet sont des vulnérabilités s’attaquant à la mauvaise gestion des droits et d’identification dans une application. Chaque site web contenant des données dynamiques comme un back-office pour l’administration en arrière-plan d’une application, doit être pourvu de rôles d’utilisateurs, d’administrateurs ou de modérateurs suivant les besoins de l’application. Si une référence à un objet n’est pas contrôlée à chaque instanciation de celui-ci, un cybercriminel pourrait donc obtenir et modifier des informations auxquelles il ne devrait pas avoir accès.

Une vulnérabilité du type Références directes non sécurisées a été découverte sur YouTube par un chercheur en sécurité russe nommé Kamil Hismatullin en 2015. Celui-ci pouvait détruire n’importe quelle vidéo en modifiant l’identifiant de la vidéo lors de la demande de suppression sur sa page YouTube.

images/03EP53.png

Même si l’identifiant de la vidéo ne lui appartenait pas, la vidéo était supprimée car la vérification de l’utilisateur n’était pas faite. Bien sûr, il n’y a pas un seul exemple d’exploitation pour ...