Mauvaise gestion des accès
Le développeur d'une application web doit bien veiller à gérer correctement les accès aux différents modules de son application.
- L'idéal est de partir sur une politique ou tous les accès sont refusés
- Ne pas révéler d'informations aux utilisateurs n'ayant pas l'accès. Par exemple "cacher" un bouton en javascript ou en CSS peut facilement être détourné avec Firebug ou les Chrome Dev Tools
- Vérifier qu'un proxy le proxy ne met pas en cache des informations nécessaires à la gestion des autorisations
- Utiliser un seul "framework" d'authentification pour toutes les briques de votre application
Continuer »