Les attaques par force brute (bruteforce)
Certains sites de e-Commerce emploient des numéros de session consécutifs et facilement prédictibles.
Sur ces sites, il est aisé de modifier son numéro de session pour voler la session d'un autre utilisateur.
Dans un tel scénario, toutes les fonctions qui étaient disponibles pour l'utilisateur piraté, le devienne pour l'attaquant et laissent libre cours aux tentatives de fraudes et au vol d'informations.
Vous pouvez vérifier la solidité de vos jetons de session ententant une attaque de brute force. Pour cela, ouvrez une session valide dans un navigateur et utilisez un outil de bruteforce de session comme Brutus.
Si ce dernier est capable de reprendre, plutôt que de " voler ", la session, votre plateforme de développement nécessite un degré d'entropie plus élevé pour la génération des jetons de session.
Partager