Les tentatives visant à contourner le mécanisme d’authentification visent à vérifier s’il est possible d’accéder aux ressources non destinées à l’utilisateur concerné de manière non autorisée. Vous pouvez utiliser Burp Suitepour tester ce type d’erreur et les tests eux-mêmes doivent inclure la vérification des cas suivants :
- tenter de contourner le processus d’authentification en faisant directement référence à la ressource testée. Par exemple, une application testée après connexion fournit à l’utilisateur des documents confidentiels à télécharger. Pentester doit vérifier si, connaissant un lien direct vers un document (par exemple, www.faktury.pl/zbiordokumentow/faktura2018.pdf), il n’est pas en mesure de le télécharger sans autorisation préalable;
- essayer de modifier les paramètres des ressources et des sessions. Dans les applications WEB, il arrive souvent que la vérification de l’accès d’un utilisateur à une ressource soit basée sur les paramètres de session. La modification de ces paramètres peut permettre à un utilisateur peu favorisé d’accéder à des données non autorisées. Par exemple, un cookie de session contient le champ admin=0. Pentester doit vérifier qu’après avoir modifié ce champ en admin=1, il n’aura pas accès à de nouvelles fonctionnalités ou informations.
- tentative de prédiction de l’identifiant de session. La valeur responsable de l’attribution d’une session à un utilisateur donné doit être non seulement unique, mais aussi imprévisible. La tâche de Pentester est de vérifier si les identifiants de session générés successivement présentent une entropie suffisamment élevée pour empêcher l’attaquant de les prévoir;
Dans l’une des applications étudiées, il a été possible d’obtenir des informations non autorisées sur les factures des utilisateurs en prédicant l’adresse sous laquelle elles se trouvent : serveur/Media/Documents/invoices/facture1.pdf. Pour trouver les factures des utilisateurs successifs de l’application, il s’agissait d’énumérer le numéro de facture à la fin de l’url.
