Description
Certaines application possède des vulnérabilités sur l’authentification des utilisateurs.
Brute-force
Il est par exemple possible d’attaquer des sites par brute force sur des mots de passe en utilisant des patterns récurents connues dans des lists appelés wordlist.
Une attaque pas brute force va essayer une série de combinaison afin de déterminer le mot de passe de l’utilisateur.
Enumeration Username
Afin de pouvoir comprommetre un compte, il est possible de regarder si l’utilisateur existe déjà dans la base de données.
Le site peut changer de comportement en fonction de si l’utilisateur est présent dans la base de données. Lors de l’inscription ou de la demande de récupération de compte, il est possible de savoir si un utilisateur est enregistré si la page affiche un message disant directement que l’utilisateur est déjà présent dans la base de données.
Le comportement d’une application peut varier si on essaye de connecté un utilisateur existant avec un mauvais mot de passe et un utilisateur non existant.
- Le code renvoyé en HTTP peut varier en fonction de la présence ou non dans la base de données.
- Il est possible que le site affiche directement que l'utilisateur n'est pas présent dans la base de données
- Le temps de réponse peut varié en fonction de si l'utilisateur est dans la base de donnée ou non. Un temps plus court voudra dire en général que l'utilisateur est présent
Bypassing two-factor authentication
Parfois après s’être connecté lors de la demande du code secret envoyé par le site pour la deuxième authentification. Il est possible que le site soit dans un état “connecté” avant même d’avoir entrer le code de vérification. Il suffit de connaitre l’URL qui n’est pas sensé être accessible pour se connecter.