Web authentification / Password reset : REX de Bug Bounty

 

Présentation de faiblesses communément observées lors de recherches de vulnérabilités dans le cadre de Bug Bounty publics et privés, à l’encontre des modules web d’authentification et de réinitialisation de mot de passe.

Au sommaire de l’article

1 Authentification web et faiblesses communes

1.1 Énumération passive / OSINT

1.2 Énumération active/incrémentale ou déductible

1.3 Gestion des sessions

1.3.1 Non-renouvellement avant/après authentification

1.3.2 Session fixation attack / HTTP Response Spliting

1.3.3 Prédiction et faiblesse des tokens de sessions

1.4 Brute-force actif (online)

1.4.1 Blocage automatique du compte

1.4.2 Blocage temporaire du compte

1.5 Pavés numériques aléatoires

1.6 Autocomplete, maxlength, pattern et réflexion : éradiquer les XSS

1.7 Password Policy disclosure et contrôles client-side

2 Réinitialisation de mot de passe perdu ou oublié et faiblesses communes

2.1 Énumération active/passive

2.2 Réinitialisation via e-mail

2.2.1 Mailbombing et saturation

2.2.2 Qualité des e-mails / spam

2.2.3 Réception du mot de passe en clair par e-mail

2.2.4 Réception d’un mot de passe auto-généré

2.2.5 Réception d’un lien de réinitialisation

2.3 Autres méthodes de réinitialisation

2.3.1 Questions d’identification

2.3.2 « Merci de contacter le support au numéro suivant »

2.3.3 Courrier postal avec code d’accès

3 Mitigation, prévention et sécurité

3.1 Anti-robotisation

3.2 Limitation de requêtes

3.3 Limitation et qualité des e-mails

3.4 En-têtes, cookies et transit

3.5 Messages génériques et politique

3.6 Identifiants et mots de passe

3.7 Approche fonctionnelle robuste

Conclusion et remerciements

Références

Yann CAM

 > Lire l’intégralité de cet article sur notre plateforme de lecture en ligne Connect  

Retrouvez cet article (et bien d’autres) dans MISC n°98, disponible sur la boutique et sur Connect !