lexique des
Attaques
Les attaques Web couvrent les techniques et les outils que les pirates malveillants peuvent utiliser pour exploiter les vulnérabilités, obtenir un accès non autorisé ou intensifier et enchaîner d'autres attaques. Dans de rares cas, certaines des méthodes décrites dans cette section pourraient également être utilisées à des fins légitimes, mais le plus souvent, elles sont utilisées avec une intention malveillante. La connaissance de ces techniques est cruciale pour comprendre comment vos sites Web et applications Web pourraient être attaqués.
SH
Détournement de session
Dans une attaque de détournement de session , l'attaquant vole les ID de session d'une application Web en écoutant la communication entre un utilisateur et une application ou en accédant aux données de l'ordinateur ou du navigateur Web de l'utilisateur.
SF
Fixation de session
Dans une attaque de fixation de session , l'attaquant trompe l'utilisateur en utilisant un ID de session spécifique. Lorsque l'utilisateur se connecte à une application Web à l'aide de cet ID, l'attaquant connaît l'ID de session valide de la victime et peut l'utiliser pour accéder au compte de l'utilisateur.
SP
Prédiction de session
Dans une attaque par prédiction de session , l'attaquant tente de deviner un ID de session active pour une application Web. Cela peut être fait en effectuant une attaque par force brute ou en déchiffrant, devinant ou rétroconcevant l'algorithme utilisé pour créer les identifiants de session.
CH
Détournement de cookies
Dans une attaque de piratage de cookies , l'attaquant vole des cookies HTTP en écoutant la communication entre un utilisateur et une application Web, en accédant aux données de l'ordinateur ou du navigateur Web de l'utilisateur ou en accédant à la mémoire du serveur Web.
CP
Empoisonnement aux cookies
Dans une attaque par empoisonnement des cookies , l'attaquant manipule le contenu des cookies HTTP avant qu'ils ne soient transmis du navigateur de l'utilisateur à une application Web.
CJ
Détournement de clic
Dans une attaque de détournement de clic, l'utilisateur est amené à interagir avec un élément de l'interface utilisateur qu'il ne voit pas. L'attaquant conçoit une page malveillante avec de faux éléments visuels. L'utilisateur est alors amené à cliquer sur ces éléments et clique sans le savoir sur un composant interactif masqué qui provient souvent d'une page intégrée.
FB
Navigation forcée
Dans une attaque de navigation forcée (également appelée navigation forcée), un attaquant visite des URL contenant des informations sensibles en devinant simplement l'URL ou en suivant un modèle d'URL communément connu. Cette attaque est rendue possible par la conception non sécurisée d'une application Web ou d'une API.
PE
Escalade des privilèges
L'élévation de privilèges signifie trouver un moyen d'accéder aux ressources appartenant à un autre utilisateur sur un système. C'est l'une des principales méthodes utilisées par les pirates informatiques pour étendre leurs attaques et accéder à davantage de ressources et d'actifs, ce qui en fait un concept crucial en matière de cybersécurité.
SHELL
Shell Web
Un shell Web est un script qui permet d'obtenir un accès shell distant au système d'exploitation du serveur Web via une connexion HTTP. Les hackers black hat utilisent souvent des shells Web comme portes dérobées pour envoyer des commandes à un système compromis.
RS
Shell inversée
Un reverse shell est un script ou un programme exécutable qui permet d'obtenir un accès shell interactif à un système via une connexion sortante à partir de ce système. Les pirates malveillants utilisent souvent des shells inversés pour envoyer des commandes à un système compromis.
MITM
Attaques de l'homme du milieu (MITM)
Une attaque de l'homme du milieu ( attaque MITM ) est un terme général de cybersécurité utilisé pour décrire toutes les cyberattaques qui permettent aux cybercriminels d'espionner une communication privée entre deux points de terminaison ou plus et de modifier potentiellement le contenu de cette communication.