Insecurité du système de mot de passe: Rêves déchus

Il existe de nombreuses techniques

Le « Path Traversal » (également connu sous le nom de « Directory Traversal ») est un type d’attaque qui exploite une vulnérabilité au sein d’une application donnée (insuffisamment protégée), pour obtenir l’accès à certains chemins dans le système de fichiers, c’est-à-dire à des dossiers sur le disque qui ne devraient pas, en fait, être accessibles à un utilisateur non autorisé. Par exemple, disons que nous avons l’arborescence d’un serveur Web Apache et que nous nous trouvons dans le répertoire racine du serveur Web lui-même, dans notre exemple /var/www/html. 

Dans toute application web qui implique l’utilisation de GET, il est possible en quelques étapes d’atteindre le fichier des mots de passe sur un système Linux, en pratique en entrant dans le répertoire /var/www/html, après avoir démarré le service apache2 et en renommant l’index.html et en le remplaçant par un index.html malveillant, en introduisant par exemple le chemin où réside le passwd, vous obtiendrez l’affichage des mots de passe sans que l’utilisateur s’en aperçoive.

C’est l’une des nombreuses techniques qui peuvent être utilisées pour trouver des informations liées à l’identité d’un utilisateur. Une fois l’utilisateur identifié et la manière d’accéder en son nom, il suffit d’ajouter un code écrit, par exemple en php, qui peut être sauvegardé dans n’importe quel répertoire et être rappelé à partir d’une page web. Le code malveillant pourrait étudier le système, accumuler des informations relatives à l’accès à d’autres chemins où résident d’autres informations et, en peu de temps, l’utilisateur serait mis à nu dans un silence absolu. Mais comment pouvons-nous nous protéger ? Comment prévenir les attaques de type Path Trasversal ? Vous pouvez éviter de subir ces attaques en évitant de transmettre des données d’entrée aux API des systèmes de fichiers. Par conséquent, l’application valide l’entrée de l’utilisateur d’une manière complètement différente que par le passé, en employant une méthodologie qui exige une entrée non pas basée sur le nom d’utilisateur et le mot de passe, mais uniquement par l’accréditation biométrique. My-ID ( https://bit.ly/My-ID_la_chiave_sei_tu ) pourrait être une réponse à ce type d’attaque.

Le système implique l’utilisation d’une reconnaissance biométrique multifactorielle (un SSO) dans lequel il n’est pas nécessaire d’utiliser un mot de passe, un pin, un jeton (https://bit.ly/My-ID_passwordless): la formule d’accès au système implique la reconnaissance de plusieurs facteurs biométriques ( https://bit.ly/My-IDCheckIdentity). Par conséquent, My-ID est une méthode innovante d’accès aux systèmes qui ne nécessite pas la saisie d’informations (https://bit.ly/My-ID_Biometric_Login), une plateforme applicable aux systèmes informatiques pour éviter l’usurpation d’identité.

PARTAGEZ

Share on linkedin
Share on whatsapp
Share on facebook
Share on twitter
Share on email