25/03/2014

PCI DSS 3.0 : protection contre les attaques par fixation de session (6.5.10)

Nouveautés de la version 3.0, le PCI DSS recommande de protéger les applications web contre les attaques par fixation de session:
6.5.10 Broken authentication and session management
Le principe de cette attaque consiste à inciter l'utilisateur victime à se connecter sur l'application par l'envoi d'un lien dans un mail (phishing). Dans ce lien, le pirate a déjà fixé le jeton de session qui sera repris par l'application pour maintenir la session. Ainsi, lorsque la victime s'authentifiera sur le formulaire de login de l'application, le pirate sera de facto déjà en possession de la session.

Il existe plusieurs moyens de protection qui doivent se mettre en place de façon cumulative. Je recommande de se pencher sur la section OWASP consacrée à ce sujet : https://www.owasp.org/index.php/Session_fixation


Aucun commentaire:

Enregistrer un commentaire