Pas le temps de lire l'article ? Voici ce qu'il faut retenir.
La faille IDOR exploitée chez l'ANTS a permis à un mineur de 15 ans d'exfiltrer 11,7 millions de comptes, peut-être 19 millions, en modifiant simplement une URL.
1
Faille IDOR — La faille a été causée par l'absence de vérification d'autorisation entre la lecture du paramètre et la requête en base, permettant à un utilisateur de récupérer les comptes de personnes qu'il n'a jamais rencontrées.
2
Boucle for — L'attaquant a utilisé une boucle for pour modifier l'identifiant numérique séquentiel dans l'URL, ce qui a permis d'accéder aux comptes des autres utilisateurs.
3
Frameworks non responsables — La faille n'est pas due à un exploit ou une CVE, mais à l'absence d'une étape de vérification d'autorisation entre l'authentification et la requête en base.
💡
Pourquoi c'est important : Cette faille IDOR met en évidence la nécessité d'une vérification d'autorisation robuste pour prévenir les fuites de données sensibles.
Toute l'actu IA résumée en 30 secondes
