Dans ma publication précédente, nous avions analysé les mesures prises par les organisations pour appliquer leurs politiques d'autorisation. Les politiques d'autorisation et les méthodes que nous utilisons pour les appliquer - contrôles d'accès, droits d'accès ou privilèges de l'utilisateur - sont conçues pour protéger des informations sensibles contre l'accès, le partage, la modification ou la suppression non autorisés. Ces politiques peuvent aussi protéger contre l'exécution des applications sur un ordinateur.

Des acteurs malveillants, des criminels ou des parties engagées dans l'espionnage électronique sont motivés - pour des raisons financières, socio-politiques ou pour des raisons de notoriété - pour mettre en échec les politiques d'autorisation afin de pouvoir accéder à des données commerciales sensibles ou confidentielles, d'escroquer un commerçant ou de voler de l'argent. Ces pirates commencent souvent par mettre en danger les comptes des utilisateurs. Alternativement, ils pourraient rechercher des vulnérabilités pouvant être exploitées pour parvenir à contrôler un système ou une application informatiques.

Au moyen de ces voies d'exploitLena En Tanne Signé Besace Collection Sac Catwalk Cuir If7ymYg6bv initiales, un pirate obtiendra certains privilèges d'accès. Ensuite, le pirate explorera progressivement le système qu'il a compromis pour obtenir davantage de privilèges, espérant ainsi accéder à des informations sensibles d'autres comptes ou même obtenir le contrôle administratif complet sur un système. Lorsqu'un pirate étend son accès initial non autorisé de cette façon, nous disons que ses efforts sont une attaque d'élévation de privilèges.

Élévation de privilèges horizontale

Supposons qu'un pirate a pu obtenir l'accès à un compte bancaire en ligne. Il veut voler de l'argent et l'argent qu'il a volé de ce compte ne lui suffit pas. Il cherche et examine de l'information ou essaie différents exploits2019rueducommerce Sac Cuir Catalogue Carrefour Vachette 45jARL pour accéder à d'autres comptes. Ce procédé est appelé élévation de privilèges horizontale parce que notre pirate se déplace latéralement entre des comptes ayant des privilèges semblables.

Comment se déplace-t-il latéralement ? Notre pirate peut examiner les liens hypertexte que la banque renvoie une fois qu'il a ouvert une session pour voir s'ils révèlent des informations sur la manière dont le contenu est organisé sur le site de la banque. Il peut découvrir que la banque encode le numéro du compte d'un client d'une manière particulière dans les liens hypertexte. Il peut créer et insérer des liens hypertexte sur le site web pour vérifier si le système de sécurité de la banque présente des défauts et si ces défauts permettent de voir les données des comptes d'autres clients ou (mieux encore) de transférer des fonds. S'il réussit, il peut accéder à plusieurs comptes avant que la banque ne détecte ses activités ou qu'un client ne dénonce un vol. Cela s'appelle technique de référence directe à un objet.

Élévation de privilèges verticale

Les pirates recherchent souvent le contrôle complet d'un système informatique afin de pouvoir s'en servir à leur profit. Lorsqu'un pirate commence par un compte utilisateur compromis et parvient ensuite à augmenter ou élever les privilèges d'utilisateur individuel qu'il possède pour parvenir à des privilèges administratifs complets ou « racine », nous pouvons donner à ces attaques le nom d'élévation de privilèges verticale.Petit Éclair Marron Femme Bandoulière Sac Abbacino À Fermeture OPZkiuX

Analysons un scénario où notre pirate a obtenu l'accès non autorisé à un compte utilisateur sur un système informatique. Il fera une reconnaissance locale pour voir ce que l'utilisateur compromis peut faire et à quelle information il peut accéder, s'il peut écrire des scripts ou compiler des programmes depuis ce compte, et d'autres possibilités. S'il peut télécharger et exécuter des logiciels sur l'ordinateur compromis, il pourrait lancer un logiciel exploit. Il fouillera jusqu'à ce qu'il trouvera une vulnérabilité ou une erreur de configuration qu'il pourra exploiter pour devenir gestionnaire de l'ordinateur ciblé ou il abandonnera ce système et cherchera un autre ordinateur.

Un pirate peut aussi outrepasser l'accès à l'information protégée ou sensible à travers des accès à distance. Par exemple, au moyen de requêtes soigneusement élaborées pouvant tirer profit d'une vulnérabilité dans une application Web déployée sur un site ciblé, un pirate peut insérer des instructions directement dans l'application de la base de données du site, ce qui lui permet d'accéder à des enregistrements apparemment protégés ou de vider le contenu complet d'une base de données (voir Sac Modrá PromodInspirace En 2019 Kožená Kabeka Námořnická 543AqRcjLinjection SQL). Les pirates peuvent essayer de nombreux exploits mais souvent, ils profitent tout simplement de l'application Web manquant de validation du type de données qu'un utilisateur saisit : dans ces situations-là, l'application Web introduit tout ce que le pirate entre dans un formulaire en ligne dans la base de données et la base de données exécute ce qu'elle reçoit, souvent avec des conséquences désastreuses allant jusqu'à la divulgation de la base de données complète, l'altération ou la corruption des données.

Renforcez l'authentification et validez toutes les données !

Il y a trois remèdes simples pour réduire les attaques d'escalade : (1) faites en sorte que vos utilisateurs ou clients utilisent la meilleure méthode d'authentification possible et qu'ils l'utilisent avec intelligence (par ex., des mots de passe longs, forts et complexes) ; (2) scannez vos applications Web pour identifier les vulnérabilités connues afin de minimiser les attaques par exploit et (3) validez les données dans tous les formulaires de soumission utilisés sur votre site web. Appliquez ce qui vient d'être mentionné et vous réduirez le risque d'exposition à des attaques d'élévation de privilèges dans votre organisation.Sac Modrá PromodInspirace En 2019 Kožená Kabeka Námořnická 543AqRcjL

Vinted Sac Sac Jeans Bandoulière Versace VqSpLGUMz

Comments

    A note about our privacy policies and terms of service:

    Été Sac 199 Collection Longchamps 2019 3d Etat Neuf Eur sxhtQrdC

    We have updated our privacy policies and certain website terms of service to provide greater transparency, promote simplification, and align with recent changes in privacy laws applicable to us. Learn more.

    This site uses cookies to deliver an efficient user experience and to help us see how the site is used. Learn more.OK

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."