Les fonctions liées à l'authentification et la gestion de session ne sont souvent pas correctement mis en œuvre, ce qui permet des attaquants de compromettre les mots de passe, les jetons de session, ou exploiter d'autres défauts de mise en œuvre d'affecter d'autres identités des utilisateurs. Il est recommandé dans ce cas de ne pas écrire "identifiant de session" dans l'URL, mots de passe cryptés et utiliser l'authentification HTTPS.
http://flashweb.be/violation-de-gestion-dauthentification-de-session/
Aucun commentaire:
Enregistrer un commentaire