Contrôle d’accès insuffisant

zero-secu 21 février 2025 1 min de lecture

#Et Bien d'autres

Résumé – Les contrôles d’accès sont mis en œuvre pour s’assurer qu’un client n’a accès qu’aux parties de l’application auxquelles les développeurs ont voulu qu’il accède.

Les contrôles d’accès sont souvent appliqués au client en fonction de l’utilisateur individuel (accès à une page de profil), de la session de l’utilisateur (accès aux pages authentifiées) et du rôle de l’utilisateur (accès à un panneau d’administration). Ces règles dictent ce que le client est « autorisé » à faire dans l’application et peuvent être appliquées avec une grande granularité. Par exemple, un contrôle d’accès peut empêcher un utilisateur d’accéder à l’ensemble d’une application, tandis qu’un autre peut seulement empêcher l’utilisation d’un paramètre supplémentaire pour une requête POST.

Lorsqu’une application présente un « contrôle d’accès insuffisant », cela signifie que les développeurs n’ont pas réussi à appliquer ces règles.