Authentication vulnerabilities

Brute Force username

On peut brute force le username avec :

Code Statut HTTP différent
Message Erreur
Temps réponse

IP Bloqué : X-Forwarde-For

Lorsqu'on reçoit un message du type : Vous avez trop de tentive bloqué pendant 30 minutes. Il se peut que votre ip à été bloqué pour contourner ceci, l'en-tête X-Forwarded-For est utile pour spoof une IP.

Temps de réponse :

Concernant l'identification du username en fonction des temps de réponses, certaines application quand le username est bon font la vérification du mdp sinon envoie direct la reponse. C'est sur ce délai de la réponse qu'on va joué.

On met un long mot de passe pour que la vérification soit "longue" et qu'on puisse discerner une différence significative comparé autre

Flawed brute-force protection

Une mauvaise implémentation de la protection contre le brute force peut mener à son succès. Exemple : IP bloqué mais on spoof une ou bien notre ip est bien bloqué mais il suffit que je me connecte à mon compte pour lever ce blocage.

PreviousSQL retrieve information database NextChecklist Brute Force

Last updated 1 year ago